Superfish事件：自签名SSL证书惹的祸

     春节期间爆发的“Superfish”事件持续发酵，引发整个社会舆论的大哗。Superfish是一款广告应用软件，内置的算法可以帮助用户找到和发现产品，在搜索引擎中对购物进行图片分析、搜索以找到更低的价格，其实算是广告软件中比较优秀的。联想与“Superfish”合作可提升用户体验，开拓软硬件结合的获利模式，本来是一件好事，为何却酿成如此大的品牌危机？这款电脑预装软件究竟具有怎样的安全风险呢？

 

据国外研究人员表示，导致Superfish引发安全风险的始作俑者是由Komodia公司提供的SDK(Software Development Kit，软件开发工具包)，该SDK生成不受浏览器信任的自签名SSL证书，使用了较弱的加密算法，使用该SDK的产品在每台计算机上内置的根证书是相同的，而且证书密码都是“komodia”，极易导致SSL的中间人攻击。这意味着安装了Superfish的用户电脑和网站服务器之间的加密信息可被解密、篡改，而恶意黑客可以利用该漏洞向客户端电脑发起钓鱼网站攻击，用户可能面临隐私泄漏、被钓鱼等严重威胁。如此看来，消费者的愤怒就不难理解了。

 

国内知名数字证书颁发机构沃通WoSign的安全专家认为，因为自签名SSL证书导致如此大的安全漏洞，最终毁掉了一个好产品和一个极具前景的项目，是非常可惜的。该专家解释道，自签名SSL证书可以随意签发，没有第三方监督审核，不受浏览器信任，常被用于伪造证书进行中间人攻击，劫持SSL加密流量。很多软件开发商为了节约成本，采用自签名SSL证书，其实是给自己的产品埋下了一颗定时炮弹，随时可能被黑客利用。

 

这一事件给合作三方都带来了巨大负面影响，也给所有厂商敲响警钟，无论是硬件提供商或是软件开发商，都有责任为用户提供更好、更安全的产品，本着对用户负责的态度，加强产品的安全性能，尊重用户的隐私，保护用户的数据安全。

 

沃通安全专家介绍称，为了让更多用户享受更安全的产品和互联网环境，沃通WoSign全球率先提供2年期的多域名免费SSL证书，受所有浏览器信任，让所有开发商零成本实现SSL加密安全，无需再使用安全风险极高的自签名SSL证书。

 

沃通WoSign是全球信任的CA机构，连续多年通过Webtrust国际审计，严格按照国际标准验证审核，可签发的正规SSL证书，即使是免费SSL证书，也必须通过审核才能签发，不能随意获取。沃通CA签发的证书受所有浏览器信任，一旦遭遇中间人攻击，浏览器会自动报警提醒用户，有效防止中间人劫持和钓鱼攻击。沃通WoSign也将持续提供更优质的安全产品和服务，守护用户的数据安全。