The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Исследование состояния SSL-сертификатов в сети

09.08.2010 10:49

В рамках проекта SSL Observatory, поддерживаемого организацией EFF (Electronic Frontier Foundation), проведено исследование по изучению особенностей использования SSL-сертификатов в сети Интернет. После трех месяцев непрерывного сканирования было зафиксировано 16.2-миллиона IP-адресов, принимающих запросы по 443 порту. Из них к 10.8 млн. удалось инициировать SSL-соединение, при этом у 4.3 млн. были зафиксированы утвержденные сертификаты, из которых только у 1.3 млн. все поля сертификата были заполнены полностью корректно.

Интересно, что более шести тыс. сертификатов были привязаны к хосту "localhost". Около 28 тыс. сертификатов созданы при помощи приватных ключей, сгенерированных пакетом OpenSSL из Debian, содержащим опасную проблему безопасности, позволяющую предугадать значения ключей шифрования из-за недостаточной высокой энтропии.

  1. Главная ссылка к новости (https://www.eff.org/observator...)
  2. OpenNews: Представлен инструмент для проведения атак "DNS rebinding"
  3. OpenNews: Исследование степени идентификации пользователя по web-браузеру
  4. OpenNews: В протоколах SSL/TLS найдена критическая уязвимость
  5. OpenNews: Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устранением уязвимости
  6. OpenNews: Июльский отчет компании NetCraft о популярности http-серверов
Лицензия: CC-BY
Тип: английский / Обобщение
Ключевые слова: ssl, cert, web
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (13) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним123321 (ok), 13:22, 09/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > сгенерированных пакетом OpenSSL ...

    это конешно печально... OpenSSL съел всем мозг

    видимо долго народ будет переходить на certtool (из GnuTLS) . впрочем пусть чем хотят генерируют, мне как конечному пользователю сёравно

    просто жалко что поддержку OpenSSL пихают во всё что не поподя, а потом программисты поддавшить на эти массовые провокации начинают пихать зависимости от libssl в свои программы :-( :-(

     
     
  • 2.2, User294 (ok), 13:40, 09/08/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > это конешно печально... OpenSSL съел всем мозг

    Дело было не в бобине (OpenSSL). Раздолбай сидел в кабине! Дебианские майнтайнеры решили что они умнее всех, ну и сунули свои лапы в криптографию, соптимизив чутка. За что и поплатились, облажавшись на мелочах, что в криптографии сплошь и рядом. Остальные то не облажались, а?

     
     
  • 3.7, Анонимко (?), 23:44, 09/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Никуда они не лазили.
    На запрос дебиановского мантейнера к авторам из команды openbsd, мол, что этот патч дает, ответ получен не был.
    Так что, проблема заключалась лишь в отсутствии собственных специалистов в проекте.
     
     
  • 4.8, Аноним (-), 06:38, 10/08/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не гвозди о чём не знаешь! Именно что лопухнулся студент из демьяна, нашел что память неинициализированную юзает да и исправил ... школяр :)
     
     
  • 5.10, Одмин (?), 23:50, 10/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    надо писать проги так чтобы дебаггер не орал, использование неинициализированной памяти это хреновый приём в программировании.
     
     
  • 6.11, Аноним (-), 06:04, 11/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вот такой же умник и проявил бдительность - вот мол Valgrind ругается, а он большой - ему видней ... :)
    А оказалось что это нужно "to add entropy to the pool" http://wiki.debian.org/SSLkeys
    Вот и оказывается что дураку и стетоскоп - смертельно опасный инструмент :)
     
  • 3.12, Аноним123321 (ok), 14:28, 11/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Остальные то не облажались, а?

    ты кто админ или программист?

    если админ -- то всё что я напишу ниже -- можешь не читать...

    ..а если программист -- по почитай лицензию на OpenSSL....
    вней написанно что ежеле встроешь какойнить кусок коду оттуда, то обязан РЕКЛАМИРОВАТЬ этот OpenSSL в своей новой программе. и ясное дело что никакие тебе уже GNU_GPL не светят

     
  • 2.5, slepnoga (??), 18:21, 09/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >видимо долго народ будет переходить на certtool (из GnuTLS) .

    nss  тогда уж

     

  • 1.3, я (?), 16:28, 09/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Почему это вдруг все должны отказаться от OpenSSL который пилили столько лет. Который совсем недавно стал 1.0.0, что говорит, о том что разработчики наконец-то устаканили API и признали его стабильным. В нем даже ГОСТ наш идиотский теперь есть. А тут появляется анонимный аналитик и заявляет - "ф топку".
     
     
  • 2.4, ххх (?), 17:11, 09/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    почему идиотский? американцы/китайцы уже имеют универсальный приватный ключ?
     
  • 2.13, Аноним123321 (ok), 14:33, 11/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Почему это вдруг все должны отказаться от OpenSSL который пилили столько лет.
    >Который совсем недавно стал 1.0.0, что говорит, о том что разработчики
    >наконец-то устаканили API и признали его стабильным. В нем даже ГОСТ
    >наш идиотский теперь есть. А тут появляется анонимный аналитик и заявляет
    >- "ф топку".

    потомучто он не GPL/LGPL и не BSD/MIT ... а обычный EULA [с довольно серъёзными требованиями]
    (ну и что что исходники открыты? сёравно это НЕ СВОБОДНОЕ ПО. и править эти исходники так как тебе захочется ты НЕ ИМЕЕШЬ право)

    колгда пилили -- нада было смотреть что пилили

    [тоесть смотреть на то -- что работаешь на ДЯДЮ а не на прогресс. дядя теперь сказал спасибо пелилщикам, а для проггреса пелильщики не сделали ни фига!!].....

    ...а это я с такимже успехом могу [работая в Microsoft] пилить IE... и потом также как ты заявить:
    "мы 15 лет пилили IE, дополили его до ACID-3 95%, а теперь вы говорите что его нада в топку?!"

     

  • 1.6, Sylvia (ok), 23:12, 09/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >к 10.8 млн. удалось инициировать SSL-соединение, при этом у 4.3 млн. были зафиксированы утвержденные сертификаты

    это отношение self signed (60%) к подтвержденным RootCA (40%) ? Что-то очень оптимистично по отношению к подтвержденным. Или они не это имели ввиду под "утвержденные" ?

     
  • 1.14, freedom (??), 16:30, 11/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в оригинале:
    10.8M started an SSL handshake
    4.3+ M used valid cert chains
    1.3+ M distinct valid leaves

    т.е RootCA 10%
    из них
    300,224 – signed by one GoDaddy cert
    244,185 – signed by one Equifax cert

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру