首页>安全资讯>Superfish事件:自签名SSL证书惹的祸

Superfish事件:自签名SSL证书惹的祸

春节期间爆发的“Superfish”事件持续发酵,引发整个社会舆论的大哗。Superfish是一款广告应用软件,内置的算法可以帮助用户找到和发现产品,在搜索引擎中对购物进行图片分析、搜索以找到更低的价格,其实算是广告软件中比较优秀的。联想与“Superfish”合作可提升用户体验,开拓软硬件结合的获利模式,本来是一件好事,为何却酿成如此大的品牌危机?这款电脑预装软件究竟具有怎样的安全风险呢?

据国外研究人员表示,导致Superfish引发安全风险的始作俑者是由Komodia公司提供的SDK(Software Development Kit,软件开发工具包),该SDK生成不受浏览器信任的自签名SSL证书,使用了较弱的加密算法,使用该SDK的产品在每台计算机上内置的根证书是相同的,而且证书密码都是“komodia”,极易导致SSL的中间人攻击。这意味着安装了Superfish的用户电脑和网站服务器之间的加密信息可被解密、篡改,而恶意黑客可以利用该漏洞向客户端电脑发起钓鱼网站攻击,用户可能面临隐私泄漏、被钓鱼等严重威胁。如此看来,消费者的愤怒就不难理解了。

ssl中间人

国内知名数字证书颁发机构沃通WoSign的安全专家认为,因为自签名SSL证书导致如此大的安全漏洞,最终毁掉了一个好产品和一个极具前景的项目,是非常可惜的。该专家解释道,自签名SSL证书可以随意签发,没有第三方监督审核,不受浏览器信任,常被用于伪造证书进行中间人攻击,劫持SSL加密流量。很多软件开发商为了节约成本,采用自签名SSL证书,其实是给自己的产品埋下了一颗定时炸弹,随时可能被黑客利用。

这一事件给合作三方都带来了巨大负面影响,也给所有厂商敲响警钟,无论是硬件提供商或是软件开发商,都有责任为用户提供更好、更安全的产品,本着对用户负责的态度,加强产品的安全性能,尊重用户的隐私,保护用户的数据安全。

沃通安全专家介绍称,为了让更多用户享受更安全的产品和互联网环境,沃通WoSign全球率先提供2年期的多域名免费SSL证书,受所有浏览器信任,让所有开发商零成本实现SSL加密安全,无需再使用安全风险极高的自签名SSL证书。

沃通WoSign是全球信任的CA机构,连续多年通过Webtrust国际审计,严格按照国际标准验证审核,可签发的正规SSL证书,即使是免费SSL证书,也必须通过审核才能签发,不能随意获取。沃通CA签发的证书受所有浏览器信任,一旦遭遇中间人攻击,浏览器会自动报警提醒用户,有效防止中间人劫持和钓鱼攻击。沃通WoSign也将持续提供更优质的安全产品和服务,守护用户的数据安全。