在荷兰政府发布分析DigiNotar公司服务器的审计报告后，本周荷兰证书授予机构DigiNotar的泄漏范围扩大，报告显示了该公司不同CA服务器中的重大安全失误。

　　该报告由IT安全公司Fox-IT编写，他们发现DigiNotar网络已经“严重泄漏”并感染了超过二十台CA服务器。破坏的程度大大提高，CA服务器已发出了数以百计的针对20个不同领域签署的流氓证书。

　　一些专家表示，泄漏的严重性提醒了我们关于损坏证书系统的问题。一个总部设在英国的安全厂商，Sophos有限责任公司的高级安全顾问Chester Wisniewski表示，企业的首席信息安全官们（CISOs）需要了解他们的组织如何使用SSL证书，并提出应急计划以应对证书供应商的泄漏事故。除了在浏览器中使用SSL来验证网站的真实性，许多企业使用数字证书来验证SSL VPN和电子邮件服务器用户的身份。

　　“企业需要知道，如果他们的SSL VPN打断了用户或他们的电子商务系统让他们用户的业务衰退了（if their SSL VPN would break for their users or if their e-commerce system would falter with their customers），他们应该做些什么？”Wisniewski说道，“问问你自己，是否有一个可供选择的方案？”

　　企业可以从多个证书授予机构获得证书，从而使得一旦一台CA服务器泄漏了，他们还可以有一个确保网站验证的后备方案。替代当前系统的方案还在测试中，但直到谷歌，微软和Mozilla开始支持替代的真伪验证系统前，该系统是不可能改变的。Fox-IT报告促使浏览器制造商将DigiNotar证书拉入黑名单。

　　本周二，微软更新了它的安全公告，推出了针对支持所有Windows版本的自动更新，撤销对DigiNotar根证书的信任。微软表示，这保护了IE用户免受中间人攻击。流氓数字证书可以让攻击者制造假内容并执行网络钓鱼攻击。

　　“我们已经认为所有的DigiNotar证书都不可靠，并将它们移到不信任证书中存储（Untrusted Certificate Store），”微软可信赖计算主任Dave Forstrom在微软安全响应中心博客中这样写道，“我们认识到，这是一个行业的问题，我们一直积极在与证书授予机构，政府和软件厂商合作，以帮助保护我们共同的客户。”

　　微软针对荷兰用户的自动更新还要等一个星期。Mozilla和谷歌也采取了类似的措施，以阻止流氓数字证书。

　　“这不是一个暂时的停止，我们是将它完全从我们信任的根方案中清除了，”Firefox的工程总监Jonathan Nightingale在Mozilla的安全博客中这样写道，“完全撤销信任是我们慎重考虑后作出的决定，这也是我们最后的手段。”

　　之所以彻底清除受信任的根是因为泄漏的范围仍不明确，Nightingale解释道。此外，DigiNotar撤销了未通知Mozilla的欺诈性证书。

　　在9月3日发布的更新中，谷歌表示它已经拒绝了由DigiNotar进行的所有证书授予。“我们期望DigiNotar可以提供一份完整的情况分析，”谷歌信息安全经理Heather Adkins这样写道。

　　Fox-IT的报告，由荷兰政府发布，报告中发现了DigiNotar严重的网络问题。

　　“所有CA服务器都在一个Windows域，这使得通过一个用户名/密码组合就可以访问所有的服务器，”据DigiNotar泄漏报告，该报告可在荷兰政府网站Rijksoverheid上查看。“密码不是很强，而且容易被暴力破解。”

　　此外，审计调查发现DigiNotar公共Web服务器上安装过时的软件。目前被调查的服务器上没有防病毒保护，Fox-IT补充道。

　　从黑客活动留下的痕迹来看，可能来自伊朗，从6月19日持续到7月22日。攻击者们发出了数百个流氓证书，包括针对谷歌，Skype，Mozilla附加组件，微软更新和其他的SSL证书。