印度機構造假SSL證書威脅Gmail安全

據360安全衛士官方微博安全預警，近日CA根證書下的印度證書認證控制機構和印度國家信息中心被曝錯誤簽發了證書，可被黑客利用針對Google/Yahoo的https等加密服務進行竊聽、欺騙或釣魚，威脅Gmail等加密服務。爲此微軟緊急發佈安全公告，並推送補丁吊銷這批假證書。

　　印度國家信息安全中心NIC被發現使用Indian CCA發行的次級CA 證書發行了多個假的Google和雅虎SSL證書(三個Google域名和一個雅虎域名，此外還有yahoo-inc.com、 yahooapis.com、static.com和gstatic.com等)。未授權的SSL證書可被用於發動中間人攻擊，如嗅探內容和釣魚。

　　Indian CCA被微軟的Root Store所信任，僞造證書事件主要影響使用微軟IE和其它Windows應用程序的用戶。Indian CCA已經撤銷了NIC持有的次級CA證書，聲稱原因是NIC的證書發行系統遭到了黑客入侵。

　　微軟安全公告宣佈開始移除該證書。公告顯示，此問題會影響所有受支持的Microsoft Windows版本。目前，微軟的Windows8、Windows8.1、Server2012、Server2012 R2版本，以及運行的Windows Phone8或Windows Phone的8.1設備會自動更新撤銷證書，針對其他Microsoft Windows操作系統，微軟爲用戶提供了撤銷證書的補丁。