TurkTrust 誤發憑證累死 Google

CA (Certificate Authority) 幾乎是大企業必定會接觸到的機構，當企業的網站需要向客戶提供不同的網上服務，而這些服務須使用到 SSL 加密以及需要高度安全性時（如網上銀行），大多數都會向認可的憑證公司申請獨立的憑證，一旦成功申請後，各家瀏覽器廠商便會將其憑證資訊放到瀏覽器之內，令大家使用 SSL (https) 服務時不會出現安全警示的畫面。

作為一家發出憑證的公司，其背後的利潤十分可觀，事關於較知名的公司如 VeriSign 等申請一張一年的憑證便需過萬元，(未計算過百萬美元的審查費用）而建立一張憑證的過程卻是非常簡單的，大家只需學習一下都可於 Linux 或 Windows 之內建立一張憑證，不同的在於由憑證公司發出之 憑證一來可讓客戶更有信心，因為這些憑證公司的客戶大多是政府、銀行等，由這些公司經審查後批出的憑證當然能夠增加客戶使用服務的信心，二來這些公司與各家瀏覽器廠商都有聯繫，透過這些公司申請的憑證會自動加到瀏覽器的名單之中，用戶瀏覽你的 SSL 頁面時便不會出現警告畫面。
而大家常使用的 Google 服務如 Gmail 等都有使用 SSL 及申請憑證，不過近日卻出現一些奇怪的事。就是其中一家憑證公司 TurkTrust 誤發兩份 憑證，其中一份更被更改為 *.Google.com，擁有這份憑證的人便可隨意於自己的網站之內套用，例如將此憑證套用到自建的網站內，當用家查詢服務的憑證時，便會見到有關服務由 Google 提供，透過這種方法黑客便有機會將誤發的憑證應用於惡意或釣魚網站之內，藉以稱自己的網站是由 Google 開發，並從中收集或騙取用戶個人資料。

Google 於其網誌之中指，有關憑證於 2011 年 8 月份批出的，Google 近月才發現有關問題，雖然已即時採取行動，但仍難保誤發的憑證沒有被應用在其他網站之內；現時 Google 已於 Chrome 之中除去由 TurkTrust 發出的憑證，而為了確保用家的安全性，Google 亦將會於本月內推出 Chrome 更新，藉以修正有關問題。現時 Google 亦已去信各大瀏覽器廠商，並通知她們更新瀏覽器的 CA 資料。

既然上述提到建立憑證是如此簡單，這些提供憑證服務的公司自然是靠信譽賺錢，今次事件已令客戶對 TurkTrust 服務大打折扣，部份瀏覽器如 Firefox 更決定將所有來自 TurkTrust 的憑證暫時停用。幸好暫時仍未發現有網站使用有關憑證去作一些虛假的 Google 服務或應用於惡意網站之中，否則今次 TurkTrust 的失誤將直接影響 Google 的商譽，真正「累死」Google 了！