The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

03.01.2013 23:43  Выявлены обманные SSL-сертификаты, полученные из-за халатности удостоверяющего центра TurkTrust

Компании Mozilla и Google одновременно объявили о прекращении доверия двум корневым сертификатам удостоверяющего центра TurkTrust и отзыве данных сертификатов из базы, поставляемой в составе браузеров Firefox и Chrome. Причиной удаления сертификатов, являются вскрывшиеся факты использования выписанных от лица сервиса TurkTrust SSL-сертификатов для совершения MITM-атак (man-in-the-middle), направленных на транзитный перехват и расшифровку SSL-трафика на промежуточном узле.

24 декабря компанией Google был выявлен обманный сертификат, выписанный для доменов *.google.com, который был задействован для совершения атаки на пользователей сервисов Google. Не исключено, что подобные обманные сертификаты могли быть использованы для атаки на другие компании и службы. Удостоверяющий центр TurkTrust, который присутствовал в цепочке доверия у обманного сертификата, провёл внутреннее расследование. Расследование показало, что в августе 2011 года по ошибке двум организациям вместо обычных SSL-сертификатов были выписаны вторичные корневые сертификаты, которые можно было использовать для генерации SSL-сертификатов для любого сайта в сети, при этом подобные обманные сертификаты будут восприняты клиентским ПО, как заслуживающие доверия.

В настоящее время рассматривается вопрос о применении санкций против удостоверяющего центра TurkTrust, допустившего столь непростительную халатность в своей работе, приведшей к нарушению цепочки доверия. Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации может привести к коллапсу всей системы. Средства защиты от подобных манипуляций, например методы перекрёстной сертификации или специальные расширения к протоколу TLS, только разрабатываются.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Представлено TACK, расширение SSL/TLS для борьбы с MITM-атаками и поддельными сертификатами
  3. OpenNews: Предложение по использованию TLD-доменов ".secure" для гарантированно защищённых ресурсов
  4. OpenNews: Mozilla объявляет ультиматум удостоверяющим центрам
  5. OpenNews: GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации
  6. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cert, ssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, pavlinux (ok), 00:47, 04/01/2013 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Поднимите руку, кто доверяет TurkTrust, а так же Machachkala Security Center, корневым центрам Тегерана и Кабула? :)
     
     
  • 2.8, anonymous (??), 01:26, 04/01/2013 [^] [ответить]    [к модератору]
  • +15 +/
    Клоуны в треде, скорее в машину.
     
  • 2.13, Stream (?), 01:58, 04/01/2013 [^] [ответить]    [к модератору]
  • +/
    Турецкие провайдеры снифят трафик юзеров ?
     
     
  • 3.24, ъ (?), 10:15, 04/01/2013 [^] [ответить]    [к модератору]
  • –1 +/
    Я в турецком отеле хотел парнушку посмотреть по местному ви-фи. Обломись. Не дало. Написало, что контент нехороший.
     
     
  • 4.31, Аноним (-), 15:14, 04/01/2013 [^] [ответить]    [к модератору]
  • +6 +/
    Вы хотели сказать "не дала". :)
     
  • 2.17, Аноним (-), 05:19, 04/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Вы таки доверяете другим удостоверяющим центрам?
     
  • 2.59, robux (ok), 00:03, 05/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Ты доверяюешь Гуглю Гугль доверяет туркишу Туркиш доверяет хулиганам Итак ты... весь текст скрыт [показать]
     
     
  • 3.67, Andrew Kolchoogin (?), 10:48, 05/01/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Во-первых, работает это не совсем так твой браузер доверяет Туркишу Туркиш дов... весь текст скрыт [показать]
     
     
  • 4.81, ЬТЛ (?), 12:04, 09/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Это в идеале, в жизни в борьбе лень vs паранойа побеждает лень... (в большинстве случаев)
     
  • 1.2, Anonim (??), 00:57, 04/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Как они собираются обновить базу ключей в моем браузере? Просто интересен механизм.
    Или надо обновления фокса ждать?
     
     
  • 2.3, Аноним (-), 01:07, 04/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Обычно оформляется как новая версия браузера и там этот серт добавлен в недоверяемые.
     
     
  • 3.14, Аноним (-), 03:02, 04/01/2013 [^] [ответить]    [к модератору]  
  • +/
    не далее как пару-тройку версий назад база ключей приходит молча, был же анонс
     
     
  • 4.15, Аноним (-), 03:19, 04/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Молча для юзера, но не для митм у которого пользовательский ключ изначально в наличии) Вот вам и весь SSL
     
     
  • 5.46, Xasd (ok), 19:34, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    когда ты самолично или например твой друг знакомый сможешь достать сгенерирова... весь текст скрыт [показать]
     
     
  • 6.54, Аноним (-), 22:19, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Только если вы выпилите все ауторити и оставите только свою Иначе любой козел м... весь текст скрыт [показать]
     
  • 6.61, Аноним (-), 01:44, 05/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Ну и сколько вам еще нужно новостей о выявлении таких сертификатов И это мы в с... весь текст скрыт [показать]
     
     
  • 7.63, arisu (ok), 01:56, 05/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    сколько угодно тушканчики всё равно уверены в том, что неоднократно скомпромети... весь текст скрыт [показать]
     
  • 6.62, arisu (ok), 01:54, 05/01/2013 [^] [ответить]     [к модератору]  
  • +/
    я тебе уже много раз говорил, попробуй хоть в этот раз понять однажды скомпроме... весь текст скрыт [показать]
     
  • 2.4, wesnoth (?), 01:07, 04/01/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Mozilla is actively revoking trust for the two mis-issued certificates which will be released to all supported versions of Firefox in the next update on Tuesday 8th January.
     
  • 2.5, user (??), 01:08, 04/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    В Firefox база сертификатов находится в библиотеке NSS. Разумеется она будет изменена с обновлением Firefox.
     
     
  • 3.6, анончик (?), 01:12, 04/01/2013 [^] [ответить]    [к модератору]  
  • +/
    тихо она даже отдельно обновляется.
     
     
  • 4.9, user (??), 01:26, 04/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Да. Там, где собрана отдельно, но на некоторых платформах её носят с собой :)
     
  • 2.7, iZEN (ok), 01:14, 04/01/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    pkg_info nss-3 14 Information for nss-3 14 Comment Libraries to support deve... весь текст скрыт [показать]
     
     
  • 3.11, user (??), 01:37, 04/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Required by:
    > firefox-i18n-17.0.1
    > thunderbird-i18n-17.0

    Я не знаю что у вас за дистр, но либо в нём не очевидные названия пакетов, либо лишние зависимости у пакетов :)


     
     
  • 4.12, iZEN (ok), 01:49, 04/01/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    FreeBSD pkg_info перечислила все узлы в ветвях зависимостей список пакетов от ... весь текст скрыт [показать]
     
     
  • 5.20, Аноним (-), 06:42, 04/01/2013 [^] [ответить]    [к модератору]  
  • –7 +/
    > FreeBSD

    Я только одно не понял: что твой долбаный листинг должен доказывать? По нему не видно заблочен ли конкретный сертификат. Прикинь?

     
     
  • 6.36, user (??), 15:40, 04/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Этот листинг показывает, что базой из библитеки мозиллы пользуются не только браузеры. В fedora этот показатель еще больше.
    p.s. ваш комментарий груб и неинформативен.
     
  • 6.41, linux must _RIP_ (?), 17:21, 04/01/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    ты прикинь братан - там думать надо, а тебе хотелось только на кнопки жать ?
     
     
  • 7.55, Аноним (-), 22:37, 04/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Вот я и интересуюсь какой глобальный вывод сделал мыслитель То что либой оказы... весь текст скрыт [показать]
     
  • 6.42, iZEN (ok), 17:23, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Что база данных о сертификатах находится не в браузерах, а в отдельном пакете ... весь текст скрыт [показать]
     
  • 5.48, ананим (?), 20:31, 04/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    да-да, вот и интересно что понадобилось пакетам вида *i18n с переводами вида
    /usr/share/locale/ru/LC_MESSAGES/*mo от базы сертификатов.
     
     ....нить скрыта, показать (21)

  • 1.10, Аноним (-), 01:32, 04/01/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Интересно, почему сразу же автоматом не убрали T 220 RKTRUST из списка корневых... весь текст скрыт [показать]
     
     
  • 2.64, arisu (ok), 01:58, 05/01/2013 [^] [ответить]     [к модератору]  
  • +/
    и этот метод тоже не сработает потому что централизованая система обречена на ф... весь текст скрыт [показать]
     
  • 1.16, дон педро (?), 05:12, 04/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Конечно-же это была ошибка, и может быть, даже, бес попутал.

    Вся эта система с SSL сертификатами настолько ненадёжная, что доверять ей, конечно, может только субъект неразбирающийся ни на йоту в деталях и принцыпах работы оной. Как ей можно доверять, когда сертификаты могут выдавать такие компании как verisign, аоl time warner Inc. и упомянутая в новости. И самое главное: ведь всем плевать.

     
     
  • 2.19, Аноним (-), 06:41, 04/01/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > Конечно-же это была ошибка, и может быть, даже, бес попутал.

    Ну да, и вовсе то они и не пытались срубить бабла на доверии. Как вы могли такое подумать?!

     
     
  • 3.27, Аноним (-), 11:45, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    А на чем они пытались срубить бабла На заявлении в CPS - Мамой клянемся, все б... весь текст скрыт [показать]
     
  • 1.18, дядя (?), 05:46, 04/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Единственное в чем польза ssl - это шифрование. "Доверие" вообще яйца выеденного не стоит. Делают деньги из воздуха.
     
     
  • 2.26, Евгений (??), 11:39, 04/01/2013 [^] [ответить]     [к модератору]  
  • –4 +/
    Объясню, почему вас минусуют и раскрою вашу некомпетентность в данном вопросе Ш... весь текст скрыт [показать]
     
     
  • 3.33, Аноним (-), 15:22, 04/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > в датацентрах находится специальное оборудование для снифинга не только внешнего трафика, но и внутреннего, который не зашифрован

    Делись.

     
     
  • 4.34, Евгений (??), 15:28, 04/01/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Читать до посинения: http://ru.wikipedia.org/wiki/SSL
     
  • 3.37, Аноним (-), 16:14, 04/01/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Спасибо за разъяснения Прочитал Ваш комментарий с интересом А если у меня свой... весь текст скрыт [показать]
     
     
  • 4.40, дон педро (?), 16:44, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    И кто помешает провайдеру перенаправлять пакеты куда нужно Ещё проще попросить ... весь текст скрыт [показать]
     
     
  • 5.45, Аноним (-), 18:00, 04/01/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Можно как-то противостоять перенаправлению пакетов в этом случае Но вообще печа... весь текст скрыт [показать]
     
     
  • 6.56, Аноним (-), 22:41, 04/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Туннель до своего серванта Хоть тот же опенвпн, где из доверяемых ауторити оста... весь текст скрыт [показать]
     
     
  • 7.70, an0num0z (?), 18:00, 05/01/2013 [^] [ответить]     [к модератору]  
  • +/
    при проведении разъяснительной работы и хомячок заинтересуется - но вряд ли смож... весь текст скрыт [показать]
     
  • 4.57, Аноним (-), 22:48, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Есть такая штука - прозрачный прокси Ну или попросту говоря, технически тот к... весь текст скрыт [показать]
     
     
  • 5.69, an0num0z (?), 17:57, 05/01/2013 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален где-то видел статью - разъясняющую как легко обнаружить ... весь текст скрыт [показать]
     
  • 4.65, arisu (ok), 02:01, 05/01/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    выкинуть его нафиг оно починке не поддаётся в принципе как 171 запорожец 18... весь текст скрыт [показать]
     
     
  • 5.68, an0num0z (?), 17:42, 05/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Простите, а Вы как на гмейл и им подобные ходите и проверяете свои акаунты в онл... весь текст скрыт [показать]
     
     
  • 6.75, arisu (ok), 00:57, 06/01/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    никак зачем мне эти зонды у меня свой сервер, с пингвинами и поэзией о какой ... весь текст скрыт [показать]
     
  • 3.43, Аноним (-), 17:47, 04/01/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    Я так и не понял в каком месте там была некомпетентность Шифрование в ssl работ... весь текст скрыт [показать]
     
     
  • 4.44, filosofem (ok), 17:58, 04/01/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    В слове ключь Правильно ключъ В остальном всё верно, ваш оппонент бредит ... весь текст скрыт [показать]
     
  • 4.51, Евгений (??), 21:10, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Сорри, я так и думал, что неправильно понял вас изначально Речь шла именно об э... весь текст скрыт [показать]
     
  • 3.47, Xasd (ok), 19:47, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    и как же они этот внутренний трафик получают неужто это оборудование расшифровы... весь текст скрыт [показать]
     
     
  • 4.49, Евгений (??), 21:06, 04/01/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Никто ничего не расшифровывает Впереди стоит балансировщик Обычно он же SSL-фр... весь текст скрыт [показать]
     
  • 4.50, KT315 (ok), 21:10, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    SSL это протокол, а не шифр или система шифрования Синхронизация ключей шифрова... весь текст скрыт [показать]
     
     
  • 5.78, Xasd (ok), 06:03, 07/01/2013 [^] [ответить]     [к модератору]  
  • +/
    датацентрах находится специальное оборудование для снифинга -- вот как ИМЕННО ... весь текст скрыт [показать]
     
     
  • 6.79, KT315 (ok), 12:11, 07/01/2013 [^] [ответить]     [к модератору]  
  • +/
    это оборудование стоит уже за сервером, который расшифровывает трафик Далее тра... весь текст скрыт [показать]
     
  • 3.53, Аноним (-), 22:01, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Перенаправив клиента на левый хост, вы не сможете подделать сертификат, который ... весь текст скрыт [показать]
     
     
  • 4.66, arisu (ok), 02:05, 05/01/2013 [^] [ответить]     [к модератору]  
  • +/
    после чего юзер бездумно тыкнет в кнопку 171 принять и заткнуться 187 , матер... весь текст скрыт [показать]
     
  • 4.71, an0num0z (?), 18:24, 05/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Это действительно так, только например гугл часто отдает разные сертификаты и оч... весь текст скрыт [показать]
     
  • 3.58, Ytch (ok), 23:15, 04/01/2013 [^] [ответить]    [к модератору]  
  • +/
    >...в датацентрах находится специальное оборудование для снифинга не только внешнего трафика, но и внутреннего, который не зашифрован.

    Да. Если уж кто-то читает секретные донесения вслух, а у вас есть возможность поставить рядом микрофон, то нет никакого смысла заморачиваться с перехватами, расшифровками и т. п.

     
  • 3.80, дядя (?), 22:38, 07/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Объясню почему вас минусуют - 99.99% сайтов в интернете с SSL. Никакого доверия к ним нет. То что им выдали сертификат с закрытыми глазами - тоже абсолютно ничего не значит, т.к. они сами по себе могут быть man-in-the-middle. Например, изменить 1 букву в имени домена и выписать себе сертификат. Все. А у пользователя возникнет ложное чувство доверенности из-за зеленого замка.
     
     ....нить скрыта, показать (26)

  • 1.21, Z (??), 07:53, 04/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >  в августе 2011 года по ошибке двум организациям вместо обычных SSL-сертификатов были выписаны вторичные корневые сертификаты

    Сколько? Удивительно, что в такой новости нет ни одного символа $, только бред про "по ошибке". Еще интересно, сам владелец бизнеса был в курсе, когда совершал такую "ошибку", которая уничтожит бизнес (вход в который стоит не дешево, а прибыль дает не сильно большую) или это кто-то из наемников за спиной работодателя так "ошибся"?

     
     
  • 2.23, Аноним (-), 09:41, 04/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Более-менее понятно, что эти сертификаты были тихо выданы под системы выявления ... весь текст скрыт [показать]
     
  • 1.22, unscrubber (?), 09:23, 04/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    diginotar2 aka turktrust - "давай, до свиданья" :-)
     
  • 1.25, Аноним (-), 10:19, 04/01/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    ИМХО Доверие не должно происходить автоматически, а до тех пор пока это так 8... весь текст скрыт [показать]
     
     
  • 2.29, Аноним (-), 11:48, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Готовым к чему Конкретно можно Чушь собачья Костыль костылей Рекомендую внач... весь текст скрыт [показать]
     
     
  • 3.32, VoDA (ok), 15:15, 04/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Рекомендую вначале почитать-таки Брюса - он как-никак ведущий
    > криптограф а не хрен собачий с опеннета. И знает толк в
    > криптографии.

    и какое у него решение текущей проблемы для сертификатов?

     
     
  • 4.35, clown (?), 15:39, 04/01/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    1 послать всех на
    2 покупать сертификаты у него, ему доверять можно

    Криптографов в мире хватает, да и не нужно им быть чтобы придумать ИДЕЮ. хотели по простому - всё испортил человеческий фактор. Теперь будет по-сложному.

     
     
  • 5.39, Аноним (-), 16:23, 04/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Рабинович, не надо перепевать Карузо Ты тоже не читал Шнайера Тащемта - да, до... весь текст скрыт [показать]
     
  • 5.52, Аноним (-), 21:54, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    не испортил, а показал несостоятельность доверие, оберегаемое угрозой санкций, ... весь текст скрыт [показать]
     
  • 4.38, Аноним (-), 16:22, 04/01/2013 [^] [ответить]     [к модератору]  
  • +/
    И не только текущей Пойди на его сайт и почитай Может, просветление наступит ... весь текст скрыт [показать]
     
  • 1.60, arisu (ok), 01:38, 05/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    SSL — это надёжно!
     
     
  • 2.72, Аноним (-), 18:40, 05/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > SSL — это надёжно!

    (лениво) Толсто же, Арису. Толстенный наброс, аж жыр из монитора потек.

     
  • 2.73, Аноним (-), 19:44, 05/01/2013 [^] [ответить]    [к модератору]  
  • +/
    SSK + TLS v1.2 + DNSSEC
     
     
  • 3.74, arisu (ok), 00:28, 06/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > SSK + TLS v1.2 + DNSSEC

    лучше, чем «голый» ssl, но не намного. к тому же — подписывать весь сайт? если он, например, динамически генерируется? не лучший вариант.

    остаётся, опять же, вопрос доверия ключу. решаемый, но тем не менее.

    p.s. ах, да. DNS. с ключевым словом «централизация».

     
  • 1.76, lincz (?), 02:57, 06/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    MITM-атаки. Охохо, MIT - это турецкая гэбня.
     
  • 1.77, iZEN (ok), 15:56, 06/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Порт библиотеки nss на FreeBSD обновили: http://www.freshports.org/security/nss/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor