The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

01.09.2011 10:41  Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor

История с генерацией обманного SSL-сертификата для сервисов Google получила продолжение. Несмотря на то, что список доменов, фигурирующих в отозванных сертификатах по прежнему держится в секрете, известно, что черный список в последнем выпуске Chrome увеличился на 247 записей. Представители проекта Mozilla сообщили, что с ними в частном порядке связались представители DigiNotar и сообщили о факте генерации обманного сертификата для домена addons.mozilla.org.

Также появились официально неподтвержденные сведения о том, что обманные сертификаты DigiNotar также были сгенерированы для Yahoo.com, Tor.com и иранского блог-сервиса Baladin. Обманные сертификаты были созданы 10 июля, а отозваны несколько дней назад.

  1. Главная ссылка к новости (http://www.theregister.co.uk/2...)
  2. OpenNews: Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21, SeaMonkey 2.3.2 и Opera 11.51
  3. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cert, ssl, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:06, 01/09/2011 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    а где-нибудь написаны причины, по которым этот дигидонор выпустил левые серты?
     
     
  • 2.2, Макс (??), 11:26, 01/09/2011 [^] [ответить]    [к модератору]
  • +/
    см. вчерашние новости
     
     
  • 3.3, Аноним (-), 11:41, 01/09/2011 [^] [ответить]    [к модератору]
  • +/
    ага, там дополнение появилось, спасибо.
     
  • 3.8, Одмин (?), 13:05, 01/09/2011 [^] [ответить]    [к модератору]
  • +/
    там даты не сходятся. Как могли взломать 19-го июля если сертификат выдан 10-го? В общем, пока всё мутно
     
     
  • 4.9, ЮзверЪ (?), 13:27, 01/09/2011 [^] [ответить]    [к модератору]
  • +/
    "Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля..." - а сколько они там на самом деле паслись, никто кроме взломщиков не знает.
     
  • 4.13, solardiz (ok), 15:34, 01/09/2011 [^] [ответить]     [к модератору]  
  • +/
    По данным F-Secure, не устраненные до этих дней следы взломов сайта DigiNotar на... весь текст скрыт [показать]
     
  • 4.33, Аноним (-), 20:11, 01/09/2011 [^] [ответить]    [к модератору]  
  • +/
    после взлома могли любую дату выставить при генерации. Это ж всего чиселко, и проверяется оно в софте.
     
  • 2.4, Аноним (-), 11:41, 01/09/2011 [^] [ответить]     [к модератору]  
  • +/
    В соседней новости, они утверждают что их взломали Появилась информация, что об... весь текст скрыт [показать]
     
     
  • 3.18, Аноним (-), 16:15, 01/09/2011 [^] [ответить]    [к модератору]  
  • +7 +/
    Они еще и не хотят публиковать список расхаканого:
    > список доменов, фигурирующих в отозванных сертификатах по прежнему держится в секрете

    За такой подход они получают НЕпочетное звание UNtrusted authority. За такое надо пожизненный вынос корневого сертификата такой ауторити выписывать. Пусть идут рассаду выращивать, может лучше получаться будет.

     
  • 1.5, Nicknnn (ok), 12:09, 01/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    dpkg-reconfigure ca-certificates
    и снять галочку с DigiNotar

    теперь при заходе на сайт сразу будет видно, если там подделка (для известных сайтов). Для других сайтов будет повод насторожиться.

     
     
  • 2.15, Denisiuk (ok), 15:57, 01/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Спасибо, так и сделал, был один мозилловский.
     
  • 2.29, edo (ok), 18:45, 01/09/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    а firefox (iceweasel) разве не свои списки доверенных CA держит?
     
     
  • 3.31, Nicknnn (ok), 19:43, 01/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Да похоже вы правы Он таскает с собою собственный набор Занчит нужно удалить т... весь текст скрыт [показать]
     
     
  • 4.41, zazik (ok), 13:13, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    У меня не удаляется, почему-то Точнее, удаляется, но потом снова появляется ФФ... весь текст скрыт [показать]
     
  • 1.6, bircoph (ok), 12:17, 01/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Удалил их CA из своих систем.
     
     
  • 2.17, Denisiuk (ok), 16:04, 01/09/2011 [^] [ответить]    [к модератору]  
  • +/
    У них на сайте есть изображение, которое прекрасно иллюстрирует их работу http://www.diginotar.com/Portals/0/Skins/DigiNotar_V7_COM/image/home/headerim
     
     
  • 3.19, Аноним (-), 16:18, 01/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > У них на сайте есть изображение, которое прекрасно иллюстрирует их работу

    Блондинки рулят CA? Куда катится этот мир? oO

     
     
  • 4.23, Denisiuk (ok), 17:19, 01/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > Блондинки рулят CA? Куда катится этот мир? oO

    гг, я про человека посередине(сзади) ;)

     
  • 1.7, фьщьшт (?), 12:39, 01/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Какие нафиг сертификаты? Уже в куки страшно заглядывать, откуда там все это есть.
     
     
  • 2.20, Аноним (-), 16:19, 01/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > Какие нафиг сертификаты? Уже в куки страшно заглядывать, откуда там все это есть.

    С серверов на которые вы заходили //Капитан

     
  • 1.10, Аноним (-), 13:56, 01/09/2011 [ответить] [показать ветку] [···]     [к модератору]  
  • +4 +/
    Брюс Шнайер предупреждал, что эта хрень с деревьями доверия - полная шняга Дост... весь текст скрыт [показать]
     
     
  • 2.11, bircoph (ok), 15:01, 01/09/2011 [^] [ответить]    [к модератору]  
  • +2 +/
    > Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован.

    Системы доверия, основанной на данном CA.

    > Кушайте с булочкой, ваш X509v3.

    Проблема в том, что других альтернатив нет. Какую бы систему идентификации хоста вы не строили, всегда нужна будет либо передача некоторой информации по абсолютно доверяемому каналу (например, ключа), либо доверие к 3-й стороне (или сторонам), подтверждающим, что хост — это тот, за кого себя выдаёт.

    Пожалуй, единственное улучшение (и усложнение), которое можно сделать — это требовать сертификациями сразу несколькими доверяемыми CA (минимум трое) и блокировка при наличии проблем с хотя бы одной подписью.

     
     
  • 3.12, brother anon (?), 15:16, 01/09/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    > Системы доверия, основанной на данном CA.

    Проблема в том, что система в равной степени доверяет всем CA, если сломать хотя бы один то безопасность под угрозой.

     
     
  • 4.14, bircoph (ok), 15:57, 01/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Ваши предложения в студию.
     
     
  • 5.21, Аноним (-), 16:22, 01/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > Ваши предложения в студию.

    Выделить особо доверяемых которые вскоре оборзеют от привилегированного положения и превратятся в диктаторов-уродов наподобии верисайна, только еще в пять раз хуже.

     
     
  • 6.25, bircoph (ok), 17:42, 01/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Взламают особо доверяемых. Дальше что?
    Не существует невзламываемых систем — ломается всё, вопрос в том, за какие деньги.

    Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё. А вот если будет много центров сертификации (скажем так, тысячи) и будет требование множественной подписи разными CA, при котором проблемы хоть с одной делают сертификат не действительным — это будет надёжнее. Можно ещё веса присваивать разным CA, но это уже более тонкий вопрос.

     
     
  • 7.27, Аноним (-), 17:57, 01/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Это все уже было Как раз так система сейчас и действует ну только без весов ... весь текст скрыт [показать]
     
     
  • 8.32, bircoph (ok), 20:00, 01/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > Это все уже было. Как раз так система сейчас и действует (ну только без весов). И что - те же яйца предлагаешь сделать, только вид сбоку?

    Почитай-ка мой пост ещё раз, аноним. Ты сейчас говоришь об унитарной системе доверия, где доверие конкретного сертификата основывается на одном единственном CA. Я же говорю о мажоритарной системе, в которой для отмены доверия достаточного одного голоса против.

    > Видишь ли, дорогой друг, доверие, как и свежесть, не бывает разных весовых степеней.

    Почитай-ка про Web of Trust что ли, ещё как бывают и применяются.

     
  • 7.38, Аноним (-), 19:44, 02/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Я так и знал что необходим тег sarcasm К сожалению, он отсутствует в стандарт... весь текст скрыт [показать]
     
  • 3.28, Аноним (-), 17:59, 01/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Алгоритм присяжных Это и в жизни-то не работает В реальном суде присяжных Осо... весь текст скрыт [показать]
     
  • 1.24, Zenitur (ok), 17:24, 01/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    tor.com? Вроде правильно tor.org!
     
  • 1.34, Ононим (?), 05:45, 02/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Зашел сейчас на gosuslugi.ru, а там сертификат истек. Вот думаю можно ли доверять после этого этому сайту. :)
     
     
  • 2.37, Аноним (-), 19:39, 02/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Отечественным чиновничьим сайтам вообще доверять не стоит Особенно - персональн... весь текст скрыт [показать]
     
  • 1.35, Аноним (-), 09:10, 02/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Чую в этом руку NSA...
     
  • 1.39, Аноним (-), 08:45, 03/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    долить что ли бензина в огонек ?:)

    https://www.diginotar.nl/Portals/0/Extrance.txt

    Отвечает самый что не наесть Windows Server с IIS....

     
     
  • 2.40, Anonym (?), 00:53, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > долить что ли бензина в огонек ?:)
    > https://www.diginotar.nl/Portals/0/Extrance.txt
    > Отвечает самый что не наесть Windows Server с IIS....

    Сертификат безопасности сайта не является доверенным!

     
  • 1.42, Аноним (-), 22:27, 05/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ну собственно и за что люди им деньги платят ? надо наплодить как хостингов, за рубль на 50 лет сертификатами банчить и будет все ок.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor