The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от opennews (??) on 08-Дек-13, 20:26 
Компания Google сообщила (http://googleonlinesecurity.blogspot.ru/2013/12/further-impr...) о выявлении факта генерации фиктивных SSL-сертификатов, выписанных для некоторых доменов Google. Указанные сертификаты были созданы с использованием промежуточного сертификата удостоверяющего центра, принадлежащего Агентству по сетевой и информационной безопасности Франции (ANSSI, "Agence Nationale de la Sécurité des Systèmes d’Information"), отвечающему за безопасность информационных систем.


В настоящее время проблемные сертификаты уже добавлены в черный список браузера Chrome, а также отправлены уведомления производителям других браузеров. Промежуточный сертификат удостоверяющего центра может использоваться для генерации сертификатов, аналогичных сертификатам, выписанным обычным удостоверяющим центром, т.е. с его помощью может быть выпущен валидный SSL-сертификат для любого сайта, позволяющий организовать не вызывающее подозрений защищённое соединение пользователя с данными сайтами. В случае Google, параметры сертификатов для доменов данной компании жестко прошиты в браузер Chrome, что позволяет выявить факты использования сертификатов, формально валидных, но выписанных не тем удостоверяющим центром.

Организация ANSSI выявила, что промежуточный сертификат удостоверяющего цента был использован в коммерческом устройстве во внутренней сети агентства. Данное устройство использовалось для инспектирования зашифрованного трафика пользователей данной сети. Подобная система была развёрнута с нарушением установленных в ANSSI правил.


После выявления инцидента агентство опубликовало (http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-...) заявление, в котором пояснило, что ненадлежащее использование промежуточных сертификатов является результатом ошибки, допущенной сотрудником при конфигурировании устройства в процессе проведения работы по усилению безопасности IT-инфраструктуры министерства. В частности, вместо инспектирования трафика, связанного только с доменами министерства, цифровые сертификаты, подписанные сертификатом казначейства Франции ("DG Trésor"), генерировались и для сторонних доменов.

Проблемные сертификаты были отозваны сразу после выявления инцидента и не оказали влияния на безопасность сетевую безопасность, как публичной сети, таки и внутренней сети администрации. Предприняты меры для предотвращения возможности совершения подобных ошибок в будущем.


URL: http://googleonlinesecurity.blogspot.ru/2013/12/further-impr...
Новость: http://www.opennet.ru/opennews/art.shtml?num=38613

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +2 +/
Сообщение от Аноним (??) on 08-Дек-13, 20:26 
тотальная "некомпетентность" почему-то уже не удивляет...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +10 +/
Сообщение от Аноним (??) on 08-Дек-13, 21:57 
Это не некомпетентность, а утечка информации об обычной практике - профанации самой идеи существования удостоверяющих центров.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  –1 +/
Сообщение от Аноним (??) on 09-Дек-13, 05:31 
профанация = некомпетентность
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

45. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от Michael Shigorin email(ok) on 11-Дек-13, 19:23 
> профанация = некомпетентность

Намеренная профанация может требовать достаточно высокой компетентности.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

5. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +5 +/
Сообщение от Аноним (??) on 08-Дек-13, 21:59 
Наверное, потому что все кто в теме и так давно в курсе что SSL/PKI - фуфел для отвода глаз. Если у вас в браузере 100500 корневых ауторити, каждая из которых может в меру дури своей левой пятки выписывать сертификаты на что угодно - ну я думаю что вы понимаете что сертификатов "а я, типа, google.com" поразведется немеряно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +2 +/
Сообщение от Xasd (ok) on 08-Дек-13, 23:45 
проблема SSL именно в том что "корневые ауторити" -- ни как не связаны с доменной цепочкой.

то есть вот что мы сейчас имеем: доменное имя выдаёт одна организация, а сертификат -- выдаёт и удостоверяет другая организация.

именно это несоответствие -- и вызывает проблему.

DANE и в целом DNSSEC -- явно улучшат ситуацию с SSL.

# P.S.: только не надо мне отвечать в стиле "DANE это не панация". здесь мы говорим НЕ о серебрянной пуле, а о конкретных проблемах и о конкретных способах устранения этих проблем.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от Crazy Alex (ok) on 09-Дек-13, 00:17 
Нет. Проблема в том, что вообще существуют какие-то "корневые ауторити". Здесь стоит только вопрос "кто и когда получит к ним доступ". А получит или нет - не стоит.

Кстати, от DANE отказались, вроде. Но если бы нет - это было бы плохо для всех кроме жителей США. Потому что отдавало бы возможность перехвата досутпа к национальным доменам местным властям, у которых, как правило, больше в этом интереса.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  –2 +/
Сообщение от Xasd (ok) on 09-Дек-13, 00:40 
> это было бы плохо для всех кроме жителей США. Потому что отдавало бы возможность перехвата досутпа к национальным доменам местным властям, у которых, как правило, больше в этом интереса.

в данном случае -- фэйл зафиксировали во Франции.

в любом случае -- если бы компрометировать DANE могли бы только в США, то это лучше чем ситуация когда это могут делать любые страны.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от Crazy Alex (ok) on 09-Дек-13, 02:56 
Наоборот - в случае DANE ключи будут в руках государственных или аффилиированных с государством контор, которые контролируют соответствующие национальные домены. Потому что ваш ключ для домена foo.ru должен быть заверен ключом для домена ru.

Но да, тут я протормозил - существующая ситуация ничем не лучше. Впрочем, и не хуже.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от Etch on 09-Дек-13, 06:26 
Всё же DANE чуть получше выглядит, т.к. ограничивает компрометацию только владельцами доменов 1-го уровня (ну и ещё теми, от кого они зависят, естественно). И при этом у владельцев сайта остаётся выбор: можно изначально выбрать наименее проштрафившегося регистратора/зону или переехать после инцидента. Т.е. появляется хоть какая-то конкуренция в данном вопросе.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  –2 +/
Сообщение от asd (??) on 09-Дек-13, 09:34 
А смысл, если все они получаются подконтрольны правительству США?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

37. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  –3 +/
Сообщение от arisu (ok) on 10-Дек-13, 19:19 
проблема в том, что необучаемые дебилы типа xasd пытаются рассуждать о безопасности.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

34. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +1 +/
Сообщение от Аноним (??) on 10-Дек-13, 02:32 
> проблема SSL именно в том что "корневые ауторити" -- ни как не
> связаны с доменной цепочкой.

Проблема в том что есть вообще какая-то группа м...ков, которым предлагается доверять по умолчанию, при том что никаких внятных оснований к тому эдементарно нет. Они довольно беспринципные барыги, которые за бабло или под нажимом властей в два счета подпишут что угодно и кому угодно. Половина к тому же крайне деревянные в плане секурити. Потому что они деньги рубят, на сертифицированных решениях (tm). Потом приходит какой-нибудь comodohacker и выписывает себе сертификаты на гугли, мозиллы и прочие виндусапдейты. По принципу "Just because I can". И что характерно, его серты для всех выглядят как вполне валидные.

> именно это несоответствие -- и вызывает проблему.

До того как брякнуть ерунду - можно подумать головой.

> DANE и в целом DNSSEC -- явно улучшат ситуацию с SSL.

Мечтать не вредно. Еще два куска г-на под видом панацеи, лишние инструменты воздействия на лохов и хомяков со стороны штатов и тому подобных носителей и причинителей "добра". Плюс-минус парочка профанаций.

Ну и да, прикольно же если объевшийся белены регистрар отожмет у тебя не только доменное имя, но еще и сертификаты. И вообще сможет косить под тебя с 100% правдоподобностью.

> # P.S.: только не надо мне отвечать в стиле "DANE это не панация".

"Панация"? Ох, слушай, а давай ты сначала окончишь школу, потом прочтешь FAQ по криптографии, а потом начнешь свое мнение по теме иметь, а? Иначе очень уж ламерски все это выглядит. Сразу видно наивного чукотского^W юношу который совершенно не умеет думать головой, но свое мнение уже имеет.

> здесь мы говорим НЕ о серебрянной пуле, а о конкретных
> проблемах и о конкретных способах устранения этих проблем.

Я не вижу как упомянутые технологии помогут что-то улучшить кроме еще капельки власти у контор на которые довольно просто надавить или даже просто расхакать. Для начала - централизованный DNS в виде как есть сам по себе имеет массу проблем. Ща, погоди, роскомпозор тебе покажет каких именно :).

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

38. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  –1 +/
Сообщение от arisu (ok) on 10-Дек-13, 19:21 
> Ох, слушай, а давай ты сначала окончишь школу, потом прочтешь FAQ
> по криптографии, а потом начнешь свое мнение по теме иметь, а?

я его уже неоднократно просил не рассуждать на темы, в которых он ничего не понимает. но тогда ему пришлось бы навсегда замолчать, а его распирает.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

47. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  –1 +/
Сообщение от Xasd (ok) on 15-Дек-13, 02:24 
> Ох, слушай, а давай ты сначала окончишь школу, потом прочтешь FAQ по криптографии, а потом начнешь свое мнение по теме иметь, а?

я закончил школу и универ. и по криптографии тоже прочитал читал много материала.

а тебе советую выучить уже наконец где на клавиатуре находится буква "ё".

если я допускаю какие-то орфографические ошибки -- то это лишь потому что у меня была оценка в школе (и универе) по русскому не очень хорошая :)...

..а вот ты явно СПЕЦИАЛЬНО искажаешься русскоязычные слова. в отличии от меня. умник, тоже мне, букву "ё" найти не может..

> группа м...ков, которым предлагается доверять по умолчанию

в случае DANE нет такой группы. доверие происходит по той-же цепочке что и делегирование доменов, без участия "группы м...ков".

если не нравистя идея с доменами -- то используй ip-адреса.

а что касается доменов -- то НЕ забывайте что доменные имена второго уровня выдаются\продлеваются на 1 год (в некоторых зонах можно на большее время).

и если новый хозяен захочет купить просроченное доменное имя -- то у этого нового хозяина должны быть все технические возможности сделать это. в том числе и уладить вопрос с шифрованием (вопрос с декларированием своих открытых ключей).

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

48. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  +/
Сообщение от arisu (ok) on 15-Дек-13, 10:00 
> я закончил школу и универ. и по криптографии тоже прочитал читал много
> материала.

если бы ты ещё его понимал…

> а тебе советую выучить уже наконец где на клавиатуре находится буква «ё».

вот уж ты бы — молчал.

> если я допускаю какие-то орфографические ошибки — то это лишь потому что
> у меня была оценка в школе (и универе) по русскому не
> очень хорошая :)…

нет, это потому, что ты глуп. видишь ли, научиться грамотно писать — это максимум месяц работы. и потом ещё несколько месяцев использования словаря. но ты слишком глуп, чтобы это сделать, и потому оправдываешься какими-то «оценками» — как будто после школы обучение заканчивается раз и навсегда.

хотя стой… так вот в чём корень твоей глупости!

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

50. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  +/
Сообщение от Xasd (ok) on 15-Дек-13, 17:06 
> видишь ли, научиться грамотно писать — это максимум месяц работы. и потом ещё несколько месяцев использования словаря.

иди снег чисти, гуманитарий :) .. здесь твоё хваставство знания русского языка -- ни кому не интересно.

русский язык если что -- один из самых сложных.. уступая первое место китайскому.. и одному месяцу тут явно будет мало

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

51. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  +/
Сообщение от arisu (ok) on 15-Дек-13, 17:14 
>> видишь ли, научиться грамотно писать — это максимум месяц работы. и потом ещё несколько месяцев использования словаря.
> иди снег чисти, гуманитарий :) .. здесь твоё хваставство знания русского языка
> — ни кому не интересно.
> русский язык если что — один из самых сложных.. уступая первое место
> китайскому.. и одному месяцу тут явно будет мало

я просто не могу удержаться от цитирования твоего перла целиком.

кстати, глупыш, я сейчас разрушу твой уютненький мир: технари *грамотнее* гуманитариев. именно потому, что технари. а вот человек, который не способен выучить язык, на котором пытается писать — точно не технарь.

и да: месяц — это я погорячился, конечно. это не про тебя: тебе вон более десятка лет не хватило. что — опять же — очень хорошо демонстрирует уровень твоего интеллекта и «технарскости».

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

49. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  +/
Сообщение от arisu (ok) on 15-Дек-13, 10:01 
> хозяен

молчи ты про «ё», право…

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

2. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +9 +/
Сообщение от A.Stahl on 08-Дек-13, 20:53 
Да сама эта идея с подписанными х.з. кем сертификатами всегда меня удивляла.
Я, конечно, могу просто тупить и чего-то не понимать, но я не считаю сертификат подписанный гуглом или ANSSI в чём-то более доверенным, чем сертификат Васи Пупкина.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от Аноним (??) on 08-Дек-13, 21:54 
Ты только не обижайся, вот здесь обзорчик хороший http://www.securelist.com/ru/blog/32852/Podpisannye_sertifik... об использовании сертификатов, выданных удостоверяющими центрами.

Для своего почтового сервера (корпоративного) я сгенерировал самоподписанный сертификат и раздал его своим клиентам (сотрудникам). О возможности получения официального сертификата какого-либо удостоверяющего центра даже речи нет - технология дискредитирована на 100%. Доверять удостоверяющим центрам неразумно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +4 +/
Сообщение от Аноним (??) on 08-Дек-13, 23:31 
Отличается от покупки сертификата у УЦ только платностью и наличием дополнительных телодвижений с установкой своего корневого сертификата клиентам. Ничто не мешает левому УЦ также выдать сертификат под твой почтовик, и клиенты начнут ему доверять с той же охотой.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

35. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от Аноним (??) on 10-Дек-13, 02:34 
> также выдать сертификат под твой почтовик, и клиенты начнут ему доверять
> с той же охотой.

...только если их корневой сертификат прописан у этих постовиков. А вот это уже не факт. Если выпилить все сертификаты кроме своего рутового - даже прокатит. Вот только это совсем не дефолтное использование PKI и так допирают делать не сильно многие.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

39. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  +/
Сообщение от arisu (ok) on 10-Дек-13, 19:23 
проблема ещё и в том, что большинство «обычных пользователей» не читает, что там пишет им «тупая железяка». тем более не читает всякую фигню о сертификатах: много умных слов, ничего не понятно. они просто ищут кнопку с надписью: «да, я на всё согласен, продолжить» и клянут «криворуких уродов-программистов, из-за которых нельзя нормально зайти на любимый сайтик».
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

33. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +1 +/
Сообщение от unnamedplayer on 09-Дек-13, 17:39 
ИМО, и надо в корне поменять критерий доверия - если сертификат несамоподписанный сайтом/организацией, к которому обращаешся - то он ненадёжен априори и это мошенничество. Например, в мозилле должны быть интегрированны только сертификаты для mozilla.org. И ясно, что если у организации единственным родом занятия является выдача байтов из воздуха за деньги, то она не может быть добросовестным генератором сертификатов, ибо ради 300% прибыли она пойдёт на всё. Ещё понятно, когда для покупки в магазине надо использовать сертификат, сгенерированный банком, который обслуживает этот магазин, но совершенно непонятно, на каком основании почтовику какого-нибудь НИИ доверенять левому бомжу, арендующим чужой комп и заверяющего, на голубом глазу, что он не обманет?!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

40. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  +1 +/
Сообщение от arisu (ok) on 10-Дек-13, 19:26 
а теперь попробуй пояснить это «обычным пользователям». в лучшем случае ты получишь реакцию типа: «эти красноглазые совсем там с ума посходили!»

основы сетевой безопасности надо в школе преподавать, блин. вместе с «не суй пальцы в розетку», «мой руки после сортира» и подобным. полностью, конечно, проблему это не решит: дебилы всегда будут. но остальные люди хотя бы отдалённо начнут понимать, что всё это значит, чем чревато и почему гигиену таки надо соблюдать.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

6. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +4 +/
Сообщение от Аноним (??) on 08-Дек-13, 22:21 
Почему ANSSI не добавили в чёрный список?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +1 +/
Сообщение от Аноним (??) on 08-Дек-13, 23:33 
> Почему ANSSI не добавили в чёрный список?

Индустрии не нужна шумиха подрывающая доверие пользователя... Если верить ящику, сша давно пора бомбить, но все улыбаются и делают вид, что ничего не происходит.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

29. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +1 +/
Сообщение от Аноним (??) on 09-Дек-13, 10:13 
Потому что реально это США может бомбить кого-угодно?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

7. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от Аноним (??) on 08-Дек-13, 23:31 
Что говорит Столлман?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  –1 +/
Сообщение от chinarulezzz (ok) on 09-Дек-13, 02:07 
Столлман давно уже сказал. Имеющий уши да слышит.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

28. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +3 +/
Сообщение от Аноним (??) on 09-Дек-13, 09:46 
> Что говорит Столлман?

В данном конкретном случае важно не то, что говорит Столлман. А важно то, что говорит Шнайер.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +4 +/
Сообщение от eoranged (ok) on 08-Дек-13, 23:56 
Тут всё просто:

1. продажа сертификатов приносит кучу денег из воздуха.
2. возможность выпускать липовые сертификаты позволяет прослушивать зашифрованный траффик целевых пользователей определенным структурам вне зависимости от степени надёжности применяемого шифрования (вот тут, кстати, можно включать паранойю).

Так что не удивляйтесь, что сохранение и развитие текущей инфраструктуры будут лоббировать ещё долго.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от Crazy Alex (ok) on 09-Дек-13, 00:20 
Проблема ещё и в том, что ничего из альтернатив приличного не придумано - во всяком случае, чтобы схема была настолько же стройной - купил сертификат, поставил - и все пользователи получили шифрованное соединение, надежности которого хватает в большинстве "коммерческих" случаев. Разве что в системе p2p-доменных имен наподобие Namecoin что-то можно сделать...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от eoranged (ok) on 09-Дек-13, 00:39 
> Проблема ещё и в том, что ничего из альтернатив приличного не придумано
> - во всяком случае, чтобы схема была настолько же стройной -
> купил сертификат, поставил - и все пользователи получили шифрованное соединение, надежности
> которого хватает в большинстве "коммерческих" случаев. Разве что в системе p2p-доменных
> имен наподобие Namecoin что-то можно сделать...

http://i2p2.de/

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +1 +/
Сообщение от Crazy Alex (ok) on 09-Дек-13, 03:04 
WOT для коммерческого применения? Вы серьезно?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

41. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  +/
Сообщение от arisu (ok) on 10-Дек-13, 19:28 
а тут одно из двух: или безопасность и связаные с этим неизбежные неудобства, или «всё из коробки и работает бездумно», но про безопасность не надо даже заикаться.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

43. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  +/
Сообщение от Crazy Alex (ok) on 11-Дек-13, 15:09 
Вопрос только - насколько именно небезопасной будет бездумная работа. Продолжая твоё сравнение - учить не совать пальцы в розетку надо, но если конструкция розетки - не две дырки, а два штыря - это как-то менее безопасно. Просто потому что случайно зацепить можно. И для большинства рядовых случаев текущая модель таки пашет - просто так твоё соединиение с банком или интернет-магазином кто попало не перехватит, это требует неслабых усилий. Зато система начинает круто ломаться тогда, когда безопасность больше всего нужна, это да. Но тут скорее надо просто вбивать в головы, от каких угроз оно защищиает, а от каких - нет.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  +/
Сообщение от arisu (ok) on 11-Дек-13, 16:14 
вот только не надо по соседству с этой системой упоминать безопасность. разве только в контексте «не обеспечивает». ложное чувство защищённости — это намного хуже, чем отсутствие защищённости вообще.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

14. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от Аноним (??) on 09-Дек-13, 00:34 
Вобщем, надо сразу выкашивать все сертификаты УЦ сразу после установки ОС.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +1 +/
Сообщение от Kodir (ok) on 09-Дек-13, 14:34 
Удалить-то удалим. Как получить свежие? :)
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +1 +/
Сообщение от Аноним (??) on 09-Дек-13, 00:35 
У ANSSI походу с компетентностью проблемы, а это агентство по безопасности)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от chinarulezzz (ok) on 09-Дек-13, 02:08 
>Организация ANSSI выявила, что промежуточный сертификат удостоверяющего цента был
>использован в коммерческом устройстве во внутренней сети агентства. Данное устройство
>использовалось для инспектирования зашифрованного трафика пользователей данной сети

классная формулировка.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +2 +/
Сообщение от DeadLoco (ok) on 09-Дек-13, 05:57 
MiTM обычный. Коммерческое оборудование, инспектирующее чужой траффик, ага. Еще небось на местных же сертификатах, с копией приватного ключа...
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +1 +/
Сообщение от Аноним (??) on 09-Дек-13, 06:22 
Так и есть. Утечка информации об обычной практике УЦ.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

42. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  +/
Сообщение от arisu (ok) on 10-Дек-13, 19:30 
> классная формулировка.

обычная практика внутриконторского слежения за трафиком. trustwave, например, такими сертфикатами барыжила вполне себе легально, прямо с сайта предлагала. мой личный проксь поступает точно так же: генерирует на лету сертификаты, подписаные моим root authority — а как иначе ему в ssl заглянуть?

разница только в том, что если утекут мои сертификаты — то это не страшно. а вот если бы я был root authority, включеной в браузеры…

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +3 +/
Сообщение от Аноним (??) on 09-Дек-13, 10:20 
"Ошибка", ага. А другие агенства так же "случайно" прослушивают переговоры и просматривают сообщения миллионов людей, "по недоразумению" встраивают бэкдоры в хард и софт для шифрования, "ошибочно" выдают им подложные страницы, через которые заливают трояны на компы пользователей.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от Аноним (??) on 09-Дек-13, 11:31 
А ключ УЦ ANSSI поставляется с какми-нибудь браузерами? Я что-то не вижу...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Выявлены фиктивные SSL-сертификаты для доменов Google,..."  +/
Сообщение от arisu (ok) on 10-Дек-13, 19:17 
естественно, это никак не означает, что ssl — ненадёжная херня. ну подумаешь, выписали поддельный сертификат. ну подумаешь, утекло. ну подумаешь, никаких плохих последствий для обгадившихся. главное — вы верьте, верьте, что ssl вас защищает!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."  +/
Сообщение от XoRe (ok) on 13-Дек-13, 19:15 
> Указанные сертификаты были созданы с использованием промежуточного сертификата
> удостоверяющего центра, принадлежащего Агентству по сетевой и информационной безопасности
> Франции (ANSSI, "Agence Nationale de la Sécurité des Systèmes d’Information"),
> отвечающему за безопасность информационных систем.

В черный список его на уровне google/mozilla/opera/apple и делов-то.
И так, пока в списках браузеров не останутся те, кто действительно заботятся о промежуточных/корневых сертификатах.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру