The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Firefox обнаружен неизвестный корневой сертификат

06.04.2010 22:31

В составе web-браузера Firefox обнаружены корневые сертификаты удостоверяющего центра (CA), владельца которых не удалось выявить. Организации RSA и VeriSign подтвердили, что не имеют к этому сертификату никакого отношения и его происхождение им неизвестно. Примечательно, что оба сертификата считаются валидными в списках сертификатов Apple и Google, один сертификат признается корректным в списке Microsoft. В настоящий момент рассматривается вопрос об удалении этих сертификатов из NSS.

Дополнение: После дополнительного уточнения выяснилось, что сертификат “RSA Security 1024 V3″ был создан в RSA и добавлен по запросу от этой компании. Компания RSA подтвердила, что сертификат нигде не используется и его можно исключить из NSS.

  1. Главная ссылка к новости (http://lwn.net/Articles/382216...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/26120-cert
Ключевые слова: cert, ssl, firefox, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, анонимус (??), 22:36, 06/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    svn фаерфрс не ведет? и посмотреть кто и когда и зачем добавил его в репозиторий нельзя? гыгыг
     
     
  • 2.4, Аноним (-), 22:41, 06/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Может их поломали и сертификат подсунули? :)
     
  • 2.14, F (?), 02:42, 07/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да, без вас разработчики Firefox, конечно, не догадались бы историю изменений посмотреть, если бы вопрос был в этом.
     

  • 1.2, Аноним (-), 22:40, 06/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В составе web-браузера Firefox обнаружен  корневой сертификат неизвестного удостоверяющего центра (CA), владельца которого не удалось выявить.
    Удостоверяющий центр известен. Его ТЕКУЩИЙ владелец не известен.
    Прошел по ссылке.
     
     
  • 2.5, Аноним (-), 22:42, 06/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Для разработчиков Mozilla подобное событие можно рассматривать как хороший урок, показывающий, что при принятии сертификатов нужно уделять особое внимание.

    Соответственно, это утверждение весьма спорно.

     
  • 2.9, Аноним (-), 22:48, 06/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Там же CA стоит RSA, но RSA сказал, что это не его. На то он и корневой сертификат, что никем не удостоверен и является отправной точкой.
     

  • 1.3, Аноним (-), 22:41, 06/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    никогда нельзя доверять опенсурсу
     
     
  • 2.6, birdie (?), 22:43, 06/04/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Дискуссию в рассылке читали? Сертификатов обнаружено два, причём один из них есть и в Windows, и в MacOS.
     
     
  • 3.8, pavlinux (ok), 22:46, 06/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Таки батенька, Опенсорц не есть Open OS
     
  • 2.10, Аноним (-), 23:17, 06/04/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >никогда нельзя доверять опенсурсу

    любой криптограф знает что нельзя доверять черным ящикам(проприетари в том числе).

     
  • 2.19, azure (ok), 09:11, 07/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    тогда trust noone

    зато опенсурс можно проверить ;)

     
     
  • 3.27, Аноним (-), 18:24, 30/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Сначала соберите на своем компьютере ядро хотя бы...
     
     
  • 4.28, azure (ok), 18:54, 30/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Сначала соберите на своем компьютере ядро хотя бы...

    собрал. что дальше, кэп?

     

  • 1.11, минона (?), 23:22, 06/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    таки новость надо читать так:
    фф обнаружила подтвержденные самыми крутыми центрами сертификаты, которые принадлежат "никому"?
    хм. круто.
     
     
  • 2.13, Аноним (-), 00:49, 07/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > фф обнаружила подтвержденные самыми крутыми центрами сертификаты, которые принадлежат "никому"?

    Не так, фф обнаружила _центр сертификации_, причём два, который принадлежит неизвестно кому.

     

  • 1.12, sHaggY_caT (ok), 23:57, 06/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кто-то из фишеров разорится :)
    Интересно, много они успели украсть?
     
  • 1.15, F (?), 02:45, 07/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По ссылкам уже и тут никто не ходит, развели шум на пустом месте.
     
  • 1.16, AlanMakoev (ok), 03:04, 07/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Воще-то, в первой ссылке (под словом "обнаружены") речь идёт только об одном сертификате - RSA Security 1024 V3 c фингерпринтом 3C:BB:5D:E0:FC:D6:39:7C:05:88:E5:66:97:BD:46:2A:BD:F9:5C:76, а в последней (под словом "рассматривается") - речь идёт о том, что все, кроме этого, валидны, а насчёт этого RSA сначала сказала "Нет у нас такого", а потом поправилась "Когда-то сгенерили, потом забили и не юзаем, можете сносить".
    Я у себя один (RSA 1024 V3) экспортировал в файл и выкосил.
     
     
  • 2.21, Кодир (?), 14:06, 07/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Что такое "RSA Security 1024 V3"? У вас есть какое-нть friendly name или хотя бы Issued By? Трудно найти сертификат по вашему отпечатку. (у меня Виндовоз-7)
     
     
  • 3.26, AlanMakoev (ok), 21:48, 07/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В виндовых сертификатах я его у себя тоже не нашёл (XP), а в файрфоксе - есть (инструменты - настройки - дополнительно - шифрование - просмотр сертификатов - центры сертификации), они там по алфавиту, RSA Security идёт сразу после RSA Data Security :))
     

  • 1.17, Zenitur (?), 08:14, 07/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Мозилловцы - заговорщики? Добавили сертификаты Эппла и Майкрософта втихаря и никому не сказав, чтобы пользователи заходили на их https-сайты и не догадывались об этом? Или чтобы туда втихаря информация отсылалась? Я оптимист, но понял новость так.
     
     
  • 2.22, szh (ok), 14:22, 07/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    чтобы что-то понять надо по ссылкам читать.
     
     
  • 3.24, Zenitur (?), 15:34, 07/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Читал, и комментарии других "разъяснителей" читал. Вывод - выше, но поправка: полизователи не догадываются, что странички, которые они видят - https, так как большого окошка о принятии Майкрософтского/Эппловского сертификата не было, а маленькое слово https маленькое.
     
     
  • 4.25, Sergey (??), 17:28, 07/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то в любом современном браузере, когда вы идете на сайт https, даже при наличии известных сертификатах в локальном репозитории, он, браузер, уведомляет об том, хотя бы изменением вида адресной строки, что вполне заметно.
     

  • 1.18, Аноним (-), 08:54, 07/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Большой брат должен следить за всеми. Иза богатыми и за бедными.
     
  • 1.20, Serega (??), 10:44, 07/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    так это ж ZOG, всё в порядке
     
  • 1.23, szh (ok), 14:23, 07/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    We know where the root came from, it was added at RSA’s request several years ago and vetted according to our inclusion guidelines. When we contacted RSA to confirm current contact and audit information for it, though, we didn’t get a clear answer as to whether or not it was in use, covered by recent audits, or decommissioned. We expect every root in our program to have a clear and active owner and, failing to get that clarity from RSA, we moved to pull this root from the product.
    http://blog.mozilla.com/security/2010/04/06/removing-the-rsa-security-1024-v3
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру