forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..."
Отправлено opennews, 08-Дек-13 20:26

Компания Google сообщила (http://googleonlinesecurity.blogspot.ru/2013/12/further-impr...) о выявлении факта генерации фиктивных SSL-сертификатов, выписанных для некоторых доменов Google. Указанные сертификаты были созданы с использованием промежуточного сертификата удостоверяющего центра, принадлежащего Агентству по сетевой и информационной безопасности Франции (ANSSI, "Agence Nationale de la Sécurité des Systèmes d’Information"), отвечающему за безопасность информационных систем.

В настоящее время проблемные сертификаты уже добавлены в черный список браузера Chrome, а также отправлены уведомления производителям других браузеров. Промежуточный сертификат удостоверяющего центра может использоваться для генерации сертификатов, аналогичных сертификатам, выписанным обычным удостоверяющим центром, т.е. с его помощью может быть выпущен валидный SSL-сертификат для любого сайта, позволяющий организовать не вызывающее подозрений защищённое соединение пользователя с данными сайтами. В случае Google, параметры сертификатов для доменов данной компании жестко прошиты в браузер Chrome, что позволяет выявить факты использования сертификатов, формально валидных, но выписанных не тем удостоверяющим центром.
Организация ANSSI выявила, что промежуточный сертификат удостоверяющего цента был использован в коммерческом устройстве во внутренней сети агентства. Данное устройство использовалось для инспектирования зашифрованного трафика пользователей данной сети. Подобная система была развёрнута с нарушением установленных в ANSSI правил.

После выявления инцидента агентство опубликовало (http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-...) заявление, в котором пояснило, что ненадлежащее использование промежуточных сертификатов является результатом ошибки, допущенной сотрудником при конфигурировании устройства в процессе проведения работы по усилению безопасности IT-инфраструктуры министерства. В частности, вместо инспектирования трафика, связанного только с доменами министерства, цифровые сертификаты, подписанные сертификатом казначейства Франции ("DG Trésor"), генерировались и для сторонних доменов.

Проблемные сертификаты были отозваны сразу после выявления инцидента и не оказали влияния на безопасность сетевую безопасность, как публичной сети, таки и внутренней сети администрации. Предприняты меры для предотвращения возможности совершения подобных ошибок в будущем.

URL: http://googleonlinesecurity.blogspot.ru/2013/12/further-impr...
Новость: http://www.opennet.ru/opennews/art.shtml?num=38613

Исходное сообщение
"Выявлены фиктивные SSL-сертификаты для доменов Google, выпис..." Отправлено opennews, 08-Дек-13 20:26
Компания Google сообщила (http://googleonlinesecurity.blogspot.ru/2013/12/further-impr...) о выявлении факта генерации фиктивных SSL-сертификатов, выписанных для некоторых доменов Google. Указанные сертификаты были созданы с использованием промежуточного сертификата удостоверяющего центра, принадлежащего Агентству по сетевой и информационной безопасности Франции (ANSSI, "Agence Nationale de la Sécurité des Systèmes d’Information"), отвечающему за безопасность информационных систем. В настоящее время проблемные сертификаты уже добавлены в черный список браузера Chrome, а также отправлены уведомления производителям других браузеров. Промежуточный сертификат удостоверяющего центра может использоваться для генерации сертификатов, аналогичных сертификатам, выписанным обычным удостоверяющим центром, т.е. с его помощью может быть выпущен валидный SSL-сертификат для любого сайта, позволяющий организовать не вызывающее подозрений защищённое соединение пользователя с данными сайтами. В случае Google, параметры сертификатов для доменов данной компании жестко прошиты в браузер Chrome, что позволяет выявить факты использования сертификатов, формально валидных, но выписанных не тем удостоверяющим центром. Организация ANSSI выявила, что промежуточный сертификат удостоверяющего цента был использован в коммерческом устройстве во внутренней сети агентства. Данное устройство использовалось для инспектирования зашифрованного трафика пользователей данной сети. Подобная система была развёрнута с нарушением установленных в ANSSI правил. После выявления инцидента агентство опубликовало (http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-...) заявление, в котором пояснило, что ненадлежащее использование промежуточных сертификатов является результатом ошибки, допущенной сотрудником при конфигурировании устройства в процессе проведения работы по усилению безопасности IT-инфраструктуры министерства. В частности, вместо инспектирования трафика, связанного только с доменами министерства, цифровые сертификаты, подписанные сертификатом казначейства Франции ("DG Trésor"), генерировались и для сторонних доменов. Проблемные сертификаты были отозваны сразу после выявления инцидента и не оказали влияния на безопасность сетевую безопасность, как публичной сети, таки и внутренней сети администрации. Предприняты меры для предотвращения возможности совершения подобных ошибок в будущем. URL: http://googleonlinesecurity.blogspot.ru/2013/12/further-impr... Новость: http://www.opennet.ru/opennews/art.shtml?num=38613

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Google сообщила (http://googleonlinesecurity.blogspot.ru/2013/12/further-improving-digital-certificate.html) 
> о выявлении факта генерации фиктивных SSL-сертификатов, выписанных для некоторых доменов 
> Google. Указанные сертификаты были созданы с использованием промежуточного сертификата 
> удостоверяющего центра, принадлежащего Агентству по сетевой и информационной безопасности 
> Франции (ANSSI, "Agence Nationale de la Sécurité des Systèmes d’Information"), 
> отвечающему за безопасность информационных систем.

> В настоящее время проблемные сертификаты уже добавлены в черный список браузера Chrome, 
> а также отправлены уведомления производителям других браузеров. Промежуточный сертификат 
> удостоверяющего центра может использоваться для генерации сертификатов, аналогичных 
> сертификатам, выписанным обычным удостоверяющим центром, т.е. с его помощью может быть 
> выпущен валидный SSL-сертификат для любого сайта, позволяющий организовать не вызывающее 
> подозрений защищённое соединение пользователя с данными сайтами. В случае Google, параметры 
> сертификатов для доменов данной компании жестко прошиты в браузер Chrome, что 
> позволяет выявить факты использования сертификатов, формально валидных, но выписанных 
> не тем удостоверяющим центром.

> Организация ANSSI выявила, что промежуточный сертификат удостоверяющего цента был использован 
> в коммерческом устройстве во внутренней сети агентства. Данное устройство использовалось 
> для инспектирования зашифрованного трафика пользователей данной сети. Подобная система 
> была развёрнута с нарушением установленных в ANSSI правил.

> После выявления инцидента агентство опубликовало (http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-igc-a-branch-808.html) 
> заявление, в котором пояснило, что ненадлежащее использование промежуточных сертификатов 
> является результатом ошибки, допущенной сотрудником при конфигурировании устройства 
> в процессе проведения работы по усилению безопасности IT-инфраструктуры министерства. 
> В частности, вместо инспектирования трафика, связанного только с доменами министерства, 
> цифровые сертификаты, подписанные сертификатом казначейства Франции ("DG Trésor"), 
> генерировались и для сторонних доменов.

> Проблемные сертификаты были отозваны сразу после выявления инцидента и не оказали влияния 
> на безопасность сетевую безопасность, как публичной сети, таки и внутренней сети 
> администрации. Предприняты меры для предотвращения возможности совершения подобных ошибок 
> в будущем.

> URL: http://googleonlinesecurity.blogspot.ru/2013/12/further-improving-digital-certificate.html 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=38613

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру