2008年5月23日,网络基础架构供应商威瑞信(VeriSign)公司(NASDAQ: VRSN)宣布针对目前新出现的冲击网上企业的互联网安全问题,即日起至2008年6月30日,威瑞信将免费为其客户提供安全套接字层 (SSL) 证书保护方案。此方案同样适用于GeoTrust、thawte和RapidSSL证书客户。
业内在上周发现一个影响Linux操作系统中特定Debian版本生成加密密钥对的严重漏洞,黑客可以利用这个漏洞查看加密的交易数据,更可能进一步秘密盗取消费者密码、金融帐号、信用卡号和社保号。
尽管威瑞信 SSL、代码签名和客户端证书品牌(包括威瑞信, GeoTrust, thawte和RapidSSL) 使用的根和中级根证书不会受这个安全问题影响,但是部分客户可能使用有漏洞风险的Linux操作系统版本来生成证书的密钥对。因此可能使得客户鉴别、加密和数字签名交易让黑客有机可趁。
为持续保护威瑞信或旗下其它证书品牌客户涉及的所有网上交易,威瑞信公司宣布免费吊销和更换任何SSL、代码签名或客户端证书。采用威瑞信 SSL的公司可以调查自己的认证和加密方式,并直接从威瑞信更换任何必要的证书。此免费方案有效期截止到2008年6月30日。
这次漏洞影响所有在2006年9月17日到2008年5月12日之间发布的Debian操作系统版本以及衍生版本(如Ubuntu)上所有生成密钥对的应用软件。尽管此次安全漏洞的责任在于提供这些Linux操作系统版本的厂商,但各个网站运营商应确保安装最新发布的补丁程序并修复漏洞,从而替换有漏洞的部分,使用安全的SSL证书。
威瑞信公司SSL高级副总裁chris Babel表示: “威瑞信、GeoTrust、thawte或RapidSSL证书内部不存在基本漏洞,我们深刻认识到互联网安全对电子商务的成功的重要性。因此,我们决定免费更换任何有问题的SSL证书。任何不安全的证书都应该立即替换,尤其电子商务企业更应该马上行动,我们鼓励他们尽快采取措施。”
Babel进一步表示:“为不间断保证全球电子商务的安全,我们推荐其它品牌证书的所有者立即进行细查,确定证书是否安全并能够继续使用。同样,我们推荐所有自行签发证书的签发机构,立即调查是否存在类似的漏洞。网站运营商应与证书签发机构联系,确定是否在Debian或衍生操作系统上签发受信根和中级根证书。如果发现证书签发机构的根证书存在此种安全问题,建议管理员立即中止使用这些证书,更换另一个安全的证书签发机构签发的证书。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
Paul Kocher评价幽灵漏洞的披露过程
在发现震惊技术界的漏洞五个月之后,安全研究专家Paul Kocher分享了他对幽灵漏洞的想法,谈到了困扰大家的 […]
-
OpenSSL首次中国行:看互联网安全背后的中国力量
9月18-24日,OpenSSL首次来访中国,在杭州、深圳、北京三地举办活动,与中国顶尖科技公司及开发者进行技术分享和交流。
-
RC4加密还可以应用在企业中吗?
最近的一篇论文表明有攻击可攻破RC4加密以及解密用户cookie。那么,这种攻击的工作原理是什么,企业应该如何避免这种攻击?RC4是否还有用?
-
开放证书授权系统是否值得一试?
互联网安全研究小组正试图推出“免费、自动和开放的证书授权系统”,它的工作原理是什么,它是否与付费证书颁发机构同样安全?使用时应该注意哪些事项呢?