The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

03.01.2013 23:43  Выявлены обманные SSL-сертификаты, полученные из-за халатности удостоверяющего центра TurkTrust

Компании Mozilla и Google одновременно объявили о прекращении доверия двум корневым сертификатам удостоверяющего центра TurkTrust и отзыве данных сертификатов из базы, поставляемой в составе браузеров Firefox и Chrome. Причиной удаления сертификатов, являются вскрывшиеся факты использования выписанных от лица сервиса TurkTrust SSL-сертификатов для совершения MITM-атак (man-in-the-middle), направленных на транзитный перехват и расшифровку SSL-трафика на промежуточном узле.

24 декабря компанией Google был выявлен обманный сертификат, выписанный для доменов *.google.com, который был задействован для совершения атаки на пользователей сервисов Google. Не исключено, что подобные обманные сертификаты могли быть использованы для атаки на другие компании и службы. Удостоверяющий центр TurkTrust, который присутствовал в цепочке доверия у обманного сертификата, провёл внутреннее расследование. Расследование показало, что в августе 2011 года по ошибке двум организациям вместо обычных SSL-сертификатов были выписаны вторичные корневые сертификаты, которые можно было использовать для генерации SSL-сертификатов для любого сайта в сети, при этом подобные обманные сертификаты будут восприняты клиентским ПО, как заслуживающие доверия.

В настоящее время рассматривается вопрос о применении санкций против удостоверяющего центра TurkTrust, допустившего столь непростительную халатность в своей работе, приведшей к нарушению цепочки доверия. Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации может привести к коллапсу всей системы. Средства защиты от подобных манипуляций, например методы перекрёстной сертификации или специальные расширения к протоколу TLS, только разрабатываются.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Представлено TACK, расширение SSL/TLS для борьбы с MITM-атаками и поддельными сертификатами
  3. OpenNews: Предложение по использованию TLD-доменов ".secure" для гарантированно защищённых ресурсов
  4. OpenNews: Mozilla объявляет ультиматум удостоверяющим центрам
  5. OpenNews: GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации
  6. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cert, ssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, pavlinux, 00:47, 04/01/2013 [ответить] [смотреть все]
  • –4 +/
    Поднимите руку, кто доверяет TurkTrust, а так же Machachkala Security Center, ко... весь текст скрыт [показать]
     
     
  • 2.8, anonymous, 01:26, 04/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +15 +/
    Клоуны в треде, скорее в машину.
     
  • 2.13, Stream, 01:58, 04/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Турецкие провайдеры снифят трафик юзеров ?
     
     
  • 3.24, ъ, 10:15, 04/01/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Я в турецком отеле хотел парнушку посмотреть по местному ви-фи Обломись Не дал... весь текст скрыт [показать]
     
     
  • 4.31, Аноним, 15:14, 04/01/2013 [^] [ответить] [смотреть все]  
  • +6 +/
    Вы хотели сказать "не дала". :)
     
  • 2.17, Аноним, 05:19, 04/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы таки доверяете другим удостоверяющим центрам?
     
  • 2.59, robux, 00:03, 05/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ты доверяюешь Гуглю Гугль доверяет туркишу Туркиш доверяет хулиганам Итак ты... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.67, Andrew Kolchoogin, 10:48, 05/01/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    Во-первых, работает это не совсем так твой браузер доверяет Туркишу Туркиш дов... весь текст скрыт [показать]
     
     
  • 4.81, ЬТЛ, 12:04, 09/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Это в идеале, в жизни в борьбе лень vs паранойа побеждает лень в большинстве... весь текст скрыт [показать]
     
  • 1.2, Anonim, 00:57, 04/01/2013 [ответить] [смотреть все]  
  • –1 +/
    Как они собираются обновить базу ключей в моем браузере? Просто интересен механизм.
    Или надо обновления фокса ждать?
     
     
  • 2.3, Аноним, 01:07, 04/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Обычно оформляется как новая версия браузера и там этот серт добавлен в недоверя... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, Аноним, 03:02, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    не далее как пару-тройку версий назад база ключей приходит молча, был же анонс
     
     
  • 4.15, Аноним, 03:19, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Молча для юзера, но не для митм у которого пользовательский ключ изначально в на... весь текст скрыт [показать]
     
     
  • 5.46, Xasd, 19:34, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    когда ты самолично или например твой друг знакомый сможешь достать сгенерирова... весь текст скрыт [показать]
     
     
  • 6.54, Аноним, 22:19, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Только если вы выпилите все ауторити и оставите только свою Иначе любой козел м... весь текст скрыт [показать]
     
  • 6.61, Аноним, 01:44, 05/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Ну и сколько вам еще нужно новостей о выявлении таких сертификатов И это мы в с... весь текст скрыт [показать]
     
     
  • 7.63, arisu, 01:56, 05/01/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    сколько угодно тушканчики всё равно уверены в том, что неоднократно скомпромети... весь текст скрыт [показать]
     
  • 6.62, arisu, 01:54, 05/01/2013 [^] [ответить] [смотреть все]  
  • +/
    я тебе уже много раз говорил, попробуй хоть в этот раз понять однажды скомпроме... весь текст скрыт [показать]
     
  • 2.4, wesnoth, 01:07, 04/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Mozilla is actively revoking trust for the two mis-issued certificates which wil... весь текст скрыт [показать] [показать ветку]
     
  • 2.5, user, 01:08, 04/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    В Firefox база сертификатов находится в библиотеке NSS Разумеется она будет изм... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, анончик, 01:12, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    тихо она даже отдельно обновляется.
     
     
  • 4.9, user, 01:26, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Да. Там, где собрана отдельно, но на некоторых платформах её носят с собой :)
     
  • 2.7, iZEN, 01:14, 04/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    pkg_info nss-3 14 Information for nss-3 14 Comment Libraries to support deve... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, user, 01:37, 04/01/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Я не знаю что у вас за дистр, но либо в нём не очевидные названия пакетов, либо ... весь текст скрыт [показать]
     
     
  • 4.12, iZEN, 01:49, 04/01/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    FreeBSD pkg_info перечислила все узлы в ветвях зависимостей список пакетов от ... весь текст скрыт [показать]
     
     
  • 5.20, Аноним, 06:42, 04/01/2013 [^] [ответить] [смотреть все]  
  • –7 +/
    Я только одно не понял что твой долбаный листинг должен доказывать По нему не ... весь текст скрыт [показать]
     
     
  • 6.36, user, 15:40, 04/01/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Этот листинг показывает, что базой из библитеки мозиллы пользуются не только бра... весь текст скрыт [показать]
     
  • 6.41, linux must _RIP_, 17:21, 04/01/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    ты прикинь братан - там думать надо, а тебе хотелось только на кнопки жать ?
     
     
  • 7.55, Аноним, 22:37, 04/01/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Вот я и интересуюсь какой глобальный вывод сделал мыслитель То что либой оказы... весь текст скрыт [показать]
     
  • 6.42, iZEN, 17:23, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Что база данных о сертификатах находится не в браузерах, а в отдельном пакете ... весь текст скрыт [показать]
     
  • 5.48, ананим, 20:31, 04/01/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    да-да, вот и интересно что понадобилось пакетам вида i18n с переводами вида us... весь текст скрыт [показать]
     
  • 1.10, Аноним, 01:32, 04/01/2013 [ответить] [смотреть все]  
  • +2 +/
    Интересно, почему сразу же автоматом не убрали T 220 RKTRUST из списка корневых... весь текст скрыт [показать]
     
     
  • 2.64, arisu, 01:58, 05/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    и этот метод тоже не сработает потому что централизованая система обречена на ф... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, дон педро, 05:12, 04/01/2013 [ответить] [смотреть все]  
  • +3 +/
    Конечно-же это была ошибка, и может быть, даже, бес попутал.

    Вся эта система с SSL сертификатами настолько ненадёжная, что доверять ей, конечно, может только субъект неразбирающийся ни на йоту в деталях и принцыпах работы оной. Как ей можно доверять, когда сертификаты могут выдавать такие компании как verisign, аоl time warner Inc. и упомянутая в новости. И самое главное: ведь всем плевать.

     
     
  • 2.19, Аноним, 06:41, 04/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Ну да, и вовсе то они и не пытались срубить бабла на доверии Как вы могли такое... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Аноним, 11:45, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    А на чем они пытались срубить бабла На заявлении в CPS - Мамой клянемся, все б... весь текст скрыт [показать]
     
  • 1.18, дядя, 05:46, 04/01/2013 [ответить] [смотреть все]  
  • +1 +/
    Единственное в чем польза ssl - это шифрование. "Доверие" вообще яйца выеденного не стоит. Делают деньги из воздуха.
     
     
  • 2.26, Евгений, 11:39, 04/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    Объясню, почему вас минусуют и раскрою вашу некомпетентность в данном вопросе Ш... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, Аноним, 15:22, 04/01/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Делись ... весь текст скрыт [показать]
     
     
  • 4.34, Евгений, 15:28, 04/01/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Читать до посинения: http://ru.wikipedia.org/wiki/SSL
     
  • 3.37, Аноним, 16:14, 04/01/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Спасибо за разъяснения Прочитал Ваш комментарий с интересом А если у меня свой... весь текст скрыт [показать]
     
     
  • 4.40, дон педро, 16:44, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    И кто помешает провайдеру перенаправлять пакеты куда нужно Ещё проще попросить ... весь текст скрыт [показать]
     
     
  • 5.45, Аноним, 18:00, 04/01/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Можно как-то противостоять перенаправлению пакетов в этом случае Но вообще печа... весь текст скрыт [показать]
     
     
  • 6.56, Аноним, 22:41, 04/01/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Туннель до своего серванта Хоть тот же опенвпн, где из доверяемых ауторити оста... весь текст скрыт [показать]
     
     
  • 7.70, an0num0z, 18:00, 05/01/2013 [^] [ответить] [смотреть все]  
  • +/
    при проведении разъяснительной работы и хомячок заинтересуется - но вряд ли смож... весь текст скрыт [показать]
     
  • 4.57, Аноним, 22:48, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Есть такая штука - прозрачный прокси Ну или попросту говоря, технически тот к... весь текст скрыт [показать]
     
     
  • 5.69, an0num0z, 17:57, 05/01/2013 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален где-то видел статью - разъясняющую как легко обнаружить ... весь текст скрыт [показать]
     
  • 4.65, arisu, 02:01, 05/01/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    выкинуть его нафиг оно починке не поддаётся в принципе как 171 запорожец 18... весь текст скрыт [показать]
     
     
  • 5.68, an0num0z, 17:42, 05/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Простите, а Вы как на гмейл и им подобные ходите и проверяете свои акаунты в онл... весь текст скрыт [показать]
     
     
  • 6.75, arisu, 00:57, 06/01/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    никак зачем мне эти зонды у меня свой сервер, с пингвинами и поэзией о какой ... весь текст скрыт [показать]
     
  • 3.43, Аноним, 17:47, 04/01/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Я так и не понял в каком месте там была некомпетентность Шифрование в ssl работ... весь текст скрыт [показать]
     
     
  • 4.44, filosofem, 17:58, 04/01/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    В слове ключь Правильно ключъ В остальном всё верно, ваш оппонент бредит ... весь текст скрыт [показать]
     
  • 4.51, Евгений, 21:10, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Сорри, я так и думал, что неправильно понял вас изначально Речь шла именно об э... весь текст скрыт [показать]
     
  • 3.47, Xasd, 19:47, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    и как же они этот внутренний трафик получают неужто это оборудование расшифровы... весь текст скрыт [показать]
     
     
  • 4.49, Евгений, 21:06, 04/01/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Никто ничего не расшифровывает Впереди стоит балансировщик Обычно он же SSL-фр... весь текст скрыт [показать]
     
  • 4.50, KT315, 21:10, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    SSL это протокол, а не шифр или система шифрования Синхронизация ключей шифрова... весь текст скрыт [показать]
     
     
  • 5.78, Xasd, 06:03, 07/01/2013 [^] [ответить] [смотреть все]  
  • +/
    датацентрах находится специальное оборудование для снифинга -- вот как ИМЕННО ... весь текст скрыт [показать]
     
     
  • 6.79, KT315, 12:11, 07/01/2013 [^] [ответить] [смотреть все]  
  • +/
    это оборудование стоит уже за сервером, который расшифровывает трафик Далее тра... весь текст скрыт [показать]
     
  • 3.53, Аноним, 22:01, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Перенаправив клиента на левый хост, вы не сможете подделать сертификат, который ... весь текст скрыт [показать]
     
     
  • 4.66, arisu, 02:05, 05/01/2013 [^] [ответить] [смотреть все]  
  • +/
    после чего юзер бездумно тыкнет в кнопку 171 принять и заткнуться 187 , матер... весь текст скрыт [показать]
     
  • 4.71, an0num0z, 18:24, 05/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Это действительно так, только например гугл часто отдает разные сертификаты и оч... весь текст скрыт [показать]
     
  • 3.58, Ytch, 23:15, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Да Если уж кто-то читает секретные донесения вслух, а у вас есть возможность по... весь текст скрыт [показать]
     
  • 3.80, дядя, 22:38, 07/01/2013 [^] [ответить] [смотреть все]  
  • +/
    Объясню почему вас минусуют - 99 99 сайтов в интернете с SSL Никакого доверия ... весь текст скрыт [показать]
     
  • 1.21, Z, 07:53, 04/01/2013 [ответить] [смотреть все]  
  • +1 +/
    >  в августе 2011 года по ошибке двум организациям вместо обычных SSL-сертификатов были выписаны вторичные корневые сертификаты

    Сколько? Удивительно, что в такой новости нет ни одного символа $, только бред про "по ошибке". Еще интересно, сам владелец бизнеса был в курсе, когда совершал такую "ошибку", которая уничтожит бизнес (вход в который стоит не дешево, а прибыль дает не сильно большую) или это кто-то из наемников за спиной работодателя так "ошибся"?

     
     
  • 2.23, Аноним, 09:41, 04/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Более-менее понятно, что эти сертификаты были тихо выданы под системы выявления ... весь текст скрыт [показать] [показать ветку]
     
  • 1.22, unscrubber, 09:23, 04/01/2013 [ответить] [смотреть все]  
  • –1 +/
    diginotar2 aka turktrust - "давай, до свиданья" :-)
     
  • 1.25, Аноним, 10:19, 04/01/2013 [ответить] [смотреть все]  
  • +/
    ИМХО Доверие не должно происходить автоматически, а до тех пор пока это так 8... весь текст скрыт [показать]
     
     
  • 2.29, Аноним, 11:48, 04/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Готовым к чему Конкретно можно Чушь собачья Костыль костылей Рекомендую внач... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, VoDA, 15:15, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    и какое у него решение текущей проблемы для сертификатов ... весь текст скрыт [показать]
     
     
  • 4.35, clown, 15:39, 04/01/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    1 послать всех на 2 покупать сертификаты у него, ему доверять можно Криптографов... весь текст скрыт [показать]
     
     
  • 5.39, Аноним, 16:23, 04/01/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Рабинович, не надо перепевать Карузо Ты тоже не читал Шнайера Тащемта - да, до... весь текст скрыт [показать]
     
  • 5.52, Аноним, 21:54, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    не испортил, а показал несостоятельность доверие, оберегаемое угрозой санкций, ... весь текст скрыт [показать]
     
  • 4.38, Аноним, 16:22, 04/01/2013 [^] [ответить] [смотреть все]  
  • +/
    И не только текущей Пойди на его сайт и почитай Может, просветление наступит ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.60, arisu, 01:38, 05/01/2013 [ответить] [смотреть все]  
  • –1 +/
    SSL — это надёжно!
     
     
  • 2.72, Аноним, 18:40, 05/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    лениво Толсто же, Арису Толстенный наброс, аж жыр из монитора потек ... весь текст скрыт [показать] [показать ветку]
     
  • 2.73, Аноним, 19:44, 05/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    SSK + TLS v1.2 + DNSSEC
     
     
  • 3.74, arisu, 00:28, 06/01/2013 [^] [ответить] [смотреть все]  
  • +/
    > SSK + TLS v1.2 + DNSSEC

    лучше, чем «голый» ssl, но не намного. к тому же — подписывать весь сайт? если он, например, динамически генерируется? не лучший вариант.

    остаётся, опять же, вопрос доверия ключу. решаемый, но тем не менее.

    p.s. ах, да. DNS. с ключевым словом «централизация».

     
  • 1.76, lincz, 02:57, 06/01/2013 [ответить] [смотреть все]  
  • +/
    MITM-атаки. Охохо, MIT - это турецкая гэбня.
     
  • 1.77, iZEN, 15:56, 06/01/2013 [ответить] [смотреть все]  
  • +/
    Порт библиотеки nss на FreeBSD обновили: http://www.freshports.org/security/nss/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList