The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21, SeaMonkey 2.3.2 и Opera 11.51

31.08.2011 13:19

Выпущены внеплановые обновления web-браузеров Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaMonkey 2.3.2, в которых осуществлено удаление корневого сертификата скомпрометированного центра сертификации DigiNotar.

Напомним, что вторжение в инфраструктуру Certificate Authority (CA) DigiNotar было зафиксировано 19 июля, в результате чего атакующим удалось сгенерировать поддельные сертификаты для ряда доменов, включая google.com. Компания DigiNotar заявила, что все сгенерированные в результате инцидента SSL-сертификаты были сразу отозваны из обращения, но вчера в сети был зафиксирован случай атаки с использованием неотозванного обманного SSL-сертификата для доменов *.google.com, выписанного удостоверяющим центром DigiNotar. Так как нет полной гарантии, что в руках злоумышленников не остаются другие обманные SSL-сертификаты, было принято решение удалить корневой сертификат DigiNotar из состава web-браузеров. Подобное действие приведет к тому, что при открытии через HTTPS всех сайтов, получивших сертификаты из рук DigiNotar, будет выдаваться предупреждение об использовании неподписанного сертификата.

Дополнение: вышло обновление Opera 11.51, в котором устранена проблема безопасности, позволяющая выводить в поле с информацией о защищенном соединении параметры сторонних ресурсов.

  1. Главная ссылка к новости (https://developer.mozilla.org/...)
  2. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
  3. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/31639-browser
Ключевые слова: browser, firefox, chrome
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:41, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > было принято решение удалить корневой сертификат DigiNotar

    Ну они сами на это нарвались. После таких фортелей они точно не trusted authority.

     
  • 1.2, emg81 (ok), 13:46, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вопрос знатокам: а нельзя этот корневой сертификат удалить БЕЗ обновления браузера? просто если более отличий никаких нет, то смысла обновляться немного.
     
     
  • 2.7, V (??), 13:55, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Preferences -> Privacy & Security -> Certificates -> Manage Certificates -> Authorities -> DigiNotar -> ... -> delete

    at least in SeaMonkey 2.1

     
     
  • 3.13, emg81 (ok), 14:17, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо.
    в FF 6.0 нашёл в:
    Настройки - Дополнительные - Шифрование - Просмотр сертификатов.
    удалил DigiNotar без проблем
     
  • 2.20, anonymous (??), 14:35, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > вопрос знатокам: а нельзя этот корневой сертификат удалить БЕЗ обновления браузера?

    и о какой security вообще речь? вот пример: пользователь, и, подозреваю, довольно квалифицированый, с сертификатами работать не умеет. и это не потому, что пользователь — дурак, как хочется думать господам разработчикам, а потому что сама концепция кривая и user-hostile.

     
     
  • 3.28, emg81 (ok), 14:58, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> вопрос знатокам: а нельзя этот корневой сертификат удалить БЕЗ обновления браузера?
    > и о какой security вообще речь? вот пример: пользователь, и, подозреваю, довольно
    > квалифицированый, с сертификатами работать не умеет. и это не потому, что
    > пользователь — дурак, как хочется думать господам разработчикам, а потому что
    > сама концепция кривая и user-hostile.

    так оно всё до необходимости: если нужно, то придётся быстро разобраться, если нет необходимости, то многие и не узнают, что такое сертификаты :)

     
     
  • 4.29, anonymous (??), 15:05, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > так оно всё до необходимости: если нужно, то придётся быстро разобраться, если
    > нет необходимости, то многие и не узнают, что такое сертификаты :)

    штука в том, что оно таки почти всем нужно. но сделано настолько проктологически, что проще не трогать даже длинной палкой. не будет обычный юзер, который пошёл купить билет на балет, читать невнятные буквы от проверки сертификатов. он видит только, что если не нажать «принимаю», то билет на балет накрывается медным тазом. и потому он примет что угодно, не читая.

    а ставить обновление, потому что какие-то там «сертификаты не такие» — это точно не будет. «нафига? я этими сертификатами и не пользовался никогда, даже не знаю, что это. ну его.»

     
     
  • 5.31, emg81 (ok), 15:12, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    тогда что Вы предлагаете, пан anonymous?
    или где-то уже реализована система, правильная, с Вашей точки зрения?

    всё же, если говорить о безопасности, то, как мне кажется, её основа в правильном обслуживании и настройке системы, которой должен заниматься квалифицированный работник: помнить и про уязвимости, и про права и т.д.
    а пользователь должен оплачивать труд такого настройщика.

    ведь можно самому привернуть муфту на кране, например. но если нет опыта/инструмента/времени - можно только накосячить. поэтому порой проще вызвать сантехника, у которого и инструмент, и детали, и опыт есть. и оплатить ему его труд.

    так и тут с ПО и компутерами. имхо.

     
     
  • 6.33, anonymous (??), 15:18, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > тогда что Вы предлагаете, пан anonymous?

    я много чего имею предложить, но не стану. потому что реализовывать, как я писал ниже, это никто не будет, а мне и вообще плевать, по гамбургскому счёту.

     

  • 1.3, Ботэ (?), 13:50, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а опера ? ех опять отстает старушка....
     
     
  • 2.19, WhereWolf (?), 14:35, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А в опере ихнего сертификата и не было. Опера не отстает, опера наоборот всех на шаг опережает - два десятка корневых сертификатов действительно известных и проверенных СА - и всё. Остальным после этого случая еще только предстоит расчищать свои завалы.
     
     
  • 3.25, Аноним (-), 14:53, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А в опере ихнего сертификата и не было.

    Дезинформация. Единственное отличие Opera в том, что если не удается проверить отозван сертификат или нет, Opera считает соединение небезопасным. Если сертификат не отозван, никто и не заметит подмены.

     
     
  • 4.34, WhereWolf (?), 15:32, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Настройки > Безопасность > Управление сертификатами > Издатели
    Никакого DigiNotar там нет.
     
     
  • 5.35, Аноним (-), 15:41, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А какого тогда http://my.opera.com/desktopteam/blog/2011/08/30/opera-11-51-released написан?!
     
     
  • 6.36, WhereWolf (?), 15:45, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    translate.google.com
     
  • 2.21, n (??), 14:36, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    http://my.opera.com/desktopteam/blog/2011/08/30/opera-11-51-released

    This security update comes right after the Diginotar certificate breach, but Opera does not require a fix for this issue. Opera always verifies that certificates are not revoked, and unlike other browsers Opera does not display sites as secure if access to revocation servers has been blocked by an attacker.

     
     
  • 3.24, Аноним (-), 14:51, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Иными словами, в  Opera не удалили корневой сертификат Diginotar и она по прежнему не защищена от наличия неотозванных обманных сертификатов этого CA ?
     
     
  • 4.27, anonymous (??), 14:58, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Иными словами, в  Opera не удалили корневой сертификат Diginotar и она
    > по прежнему не защищена от наличия неотозванных обманных сертификатов этого CA
    > ?

    даже захотелось было проверить, а потом вспомнил, что у меня все так называемые «довереные центры сертификации» удалены.

     

  • 1.4, Pegas (?), 13:50, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно запросто с списка корневых сертификатов.
     
  • 1.5, luckym (ok), 13:51, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для тех кто не в теме: можете более подробно разъяснить - о чём идёт речь? Насколько приблизительно много сайтов используют подобные сертификаты, какие самые известные из них?
     
     
  • 2.8, Ботэ (?), 13:57, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ttp://www.opennet.ru/opennews/art.shtml?num=31635
     
     
  • 3.11, luckym (ok), 14:03, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Там нет информации на поставленный мною вопрос. Я уже читал эту новость. Сложно представить глобальность проблемы.
     
     
  • 4.23, WhereWolf (?), 14:39, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Поставь ненадолго на компе другую дату - например, 31.08.2010. Браузер тут же начнет ругаться на просроченные сертификаты при посещении сайтов типа google.com, yandex.ru, nvidia.com и т.д. Масштаб проблемы сам увидишь :)
     
     
  • 5.30, luckym (ok), 15:10, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да, но какая доля DigiNotar среди этих сертификатов?
     
  • 2.26, Аноним (-), 14:55, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Для тех кто не в теме: можете более подробно разъяснить - о
    > чём идёт речь? Насколько приблизительно много сайтов используют подобные сертификаты,
    > какие самые известные из них?

    Любой центр сертификации может создать сертификат для _любого_ сайта и HTTPS-соединение к левому хосту с использованием этого сертификата будет выглядеть для пользователя валидным, пока этот сертификат не отозван. В Chrome перестраховались и прописали от каких CA могут приниматься сертификаты Google и некоторых других сайтов.

     

  • 1.9, strah4 (?), 13:57, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вчера вроде писали, что хром сертефикаты онлайн сверяет с базой гугла и в обновлении не нуждается.
     
     
  • 2.18, Аноним (-), 14:27, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Хром может сверяять только сертификаты гугла. А в обновлении снесли нахрен весь корень DigiNotar.
     

  • 1.10, arka (?), 14:02, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Удаление одного корневого сертификата тянет за собой двухметровое обновление.
    Может что-нибудь в консерватории поменять (с)
     
     
  • 2.22, anonymous (??), 14:37, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Может что-нибудь в консерватории поменять (с)

    угу. например, выкинуть всю систему сертификатов, как ненадёжное УГ.

     

  • 1.12, Sergey722 (ok), 14:15, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сегодня перешёл на ФФ бета (7-ка). Т.ч., спасибо, что написали как снести сертификат!
     
  • 1.32, centosuser (ok), 15:14, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Chrome не удалили.
    Version:13.0.782.218
    DigiNotar как был в списке так и остался.
     
     
  • 2.38, Аноним (-), 20:43, 05/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    13.0.782.220 — тоже не удалили. Я давно ещё галки все убрал с него, кнопка "удалить" неактивна, удивляюсь новости.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру