微软确认*Xboxlive.com域名的SSL/TLS数字证书私人密钥遭到泄露,可被攻击者用于尝试发动中间人攻击,但私人密钥不能被用于签发其他证书或代码,或假冒其他域名。
Xboxlive证书包含在所有的windows支持版本中,影响范围非常广,但微软目前还没有发现利用私人密钥发动攻击的案例。
微软正在更新Certificate Trust list (CTL) 撤销对该证书的信任,希望每个人都能自动收到撤消Xboxlive SSL服务器证书的通知。微软公司并没有说明已经有多少人看到过证书,但很不希望密钥已被用于发动攻击。
面对这一问题大部分Windows用户没什么可做的,但Vista、windows 7、windows server 2008、windows server 2008 R2的用户需要开启自动证书更新。对于没有开启自动更新证书的用户,应该使用MMC证书管理控制台将被泄露的证书添加到不受信任证书列表中。
在申请更新之后,用户又怎么知道这个证书在不受信任证书列表之中呢?
证书撤回后的确认
对于开启自动更新受信任证书列表的Vista、windows 7、windows server 2008、windows server 2008 R2系统,windows 8、windows 8.1、windows RT、windows RT 8.1、windows server 2012、windows server 2012 R2、windows 10、windows 10 1511版本的系统,用户可以用事件查看器检查应用日志的如下字段:
Source: CAPI2 Level: Information Event ID: 4112 Description: Successful auto update of disallowed certificate list with effective date: Tuesday, December 1, 2015 (or later).
对于没有使用自动更新证书列表的系统,要确认下面的这个证书已经添加进了不受信任证书列表之中:
* 参考来源 securityaffairs ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)