【大纪元3月23日讯】微软在3月22日向其所有用户发出警告,两份含有该公司名称和授权的数字证书近日已被发现失窃。微软提醒用户,在遇到任何含该公司授权数字认证的程序时,都应慎重行事,尤其不要相信签发日为1月29日和30日的数字证书,因为获得了数字认证的人能够伪装成微软身份向不加怀疑的用户发送电脑病毒。
微软发言人称,这两份数字证书是由Verisign公司在上述两日被人利用欺诈手段而签发出去,诈骗者自称是微软员工。
VeriSign公司的数字认证是微软互联网软件的安全密码锁,微软公司利用这种数字认证来保证其软件的真实性。微软说:“此次事件的危险性在于即使一个很有安全意识的用户也会同意接收某些内容并有可能同意总是相信假冒的数字认证。”
数字证书由作为第三方的Verisign等特许公司签发,用于证明一个程序的软件代码是由某一家公司编写,并且该程序是安全的。利用网络浏览器登录一个含ActiveX控件的网站时经常会遇到这种数字认证,一般此时会出现一个对话框,询问用户是否信任该代码并允许该程序在其系统中运行。犯罪分子很可能利用被窃的两张数字证书对用户构成危害,而且欺诈方法也不限于上述这一种。目前微软正在加紧制作可供下载的补救程序,但尚需等待一周左右才能完成。
微软发言人称,此次事故是因Verisign的人为失误造成的,证书签发人在操作时未遵循相关的规定步骤。对于这一点,Verisign表示承认,并称这是该公司首次遭遇欺诈。
另外,这两份数字证书已被Verisign“注销”,但目前几乎所有版本的IE浏览器都没有检查“注销列表”的功能。不过以后的版本可望对此有所改进。
附数字证书说明:
数字证书又称数字认证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。
——数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
——数字凭证的内部格式是由CCITT X.509国际标准所规定的。
相关文章
