微软发言人称,这两份数字证书是由Verisign公司在上述两日被人利用欺诈手段而签发出去,诈骗者自称是微软员工。
数字证书由作为第三方的Verisign等特许公司签发,用于证明一个程序的软件代码是由某一家公司编写,并且该程序是安全的。利用网络浏览器登录一个含ActiveX控件的网站时经常会遇到这种数字认证,一般此时会出现一个对话框,询问用户是否信任该代码并允许该程序在其系统中运行。犯罪分子很可能利用被窃的两张数字证书对用户构成危害,而且欺诈方法也不限于上述这一种。目前微软正在加紧制作可供下载的补救程序,但尚需等待一周左右才能完成。
微软发言人称,此次事故是因Verisign的人为失误造成的,证书签发人在操作时未遵循相关的规定步骤。对于这一点,Verisign表示承认,并称这是该公司首次遭遇欺诈。
另外,这两份数字证书已被Verisign“注销”,但目前几乎所有版本的IE浏览器都没有检查“注销列表”的功能。不过以后的版本可望对此有所改进。
注:什么是数字证书?
数字证书又称数字认证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。
——数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
——数字凭证的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:
·凭证拥有者的姓名,
·凭证拥有者的公共密钥,
·公共密钥的有效期,
·颁发数字凭证的单位,
·数字凭证的序列号(Serial number),
数字凭证有三种类型:
——·个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。
——·企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
——·软件(开发者)凭证(Developer ID):它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。
