OpenForum RSS: Уязвимость в сервисе StartSSL позволяла автоматически получи... https://slinkov.ru/openforum/vsluhforumID3/108420.html В пытающемся конкурировать с Lets'Encrypt сервисе автоматической выдачи SSL-сертификатов StartEncrypt (https://www.opennet.ru/opennews/art.shtml?num=44603), развиваемом удостоверяющим центром StartCom (торговая марка StartSSL), выявлена (https://www.computest.nl/blog/startencrypt-considered-harmful-today/) критическая проблема с безопасностью, позволяющая получить заверенный удостоверяющим центром сертификат для не принадлежащего пользователю домена. Например, можно получить SSL-сертификаты для google.com и facebook.com, которые будут восприняты в браузерах как заслуживающие доверия.<br><br><br><br>Проблема присутствует в реализации механизма проверки принадлежности домена заявителю. Как упоминалось в опубликованном две недели назад анонсе (https://www.opennet.ru/opennews/art.shtml?num=44603), проверка выполняется закрытым приложением, представляющим собой "черный ящик", отправляющий сетевые запросы к внешнему API. Энтузиасты заинтересовались подобной сетевой активностью и в процессе анализа приложения, нашли в нём с Уязвимость в сервисе StartSSL позволяла автоматически получи... (Andrey Mitrofanov) https://slinkov.ru/openforum/vsluhforumID3/108420.html#53 Tue, 05 Jul 2016 12:29:12 GMT &gt; Пост-фактум всегда все "ожидаемо". А пруф в виде ссылочки на такие ожидания <br>&gt; месячной и более давности не найдется ли?<br><br>Да, вот http://www.opennet.ru/openforum/vsluhforumID3/101910.html#63 же. Прямо _ждёт_.<br><br>И всем того же советует<br>http://www.opennet.ru/openforum/vsluhforumID3/105773.html#59<br>http://www.opennet.ru/openforum/vsluhforumID3/105125.html#32<br>http://www.opennet.ru/openforum/vsluhforumID3/102930.html#32<br><br>Крэзи - Голова! Почти Шнайер. Как сертифицировать, ка кбанки организоать -- всё знает. &lt;/&gt;<br> Уязвимость в сервисе StartSSL позволяла автоматически получи... (azure) https://slinkov.ru/openforum/vsluhforumID3/108420.html#52 Tue, 05 Jul 2016 11:36:48 GMT Пост-фактум всегда все "ожидаемо". А пруф в виде ссылочки на такие ожидания месячной и более давности не найдется ли?<br> Уязвимость удостоверяющего центра StartSSL позволяла получит... (XoRe) https://slinkov.ru/openforum/vsluhforumID3/108420.html#49 Sat, 02 Jul 2016 11:48:38 GMT &gt; Я, как вебмастер, вообще не хочу иметь доступ к приватным ключам своих <br>&gt; сертификатов. Пускай мой хостер или name server их у себя хранит/обновляет<br><br>Чего мелочиться, сразу в роскомнадзор шли.<br> Уязвимость удостоверяющего центра StartSSL позволяла получит... (XoRe) https://slinkov.ru/openforum/vsluhforumID3/108420.html#48 Sat, 02 Jul 2016 11:46:42 GMT &gt;&gt; Ну вот разница в том числе в том, что там было <br>&gt;&gt; огромное долгое бета-тестирование <br>&gt; Которое ничего не вылавливает, на самом деле. Что неоднократно практика и показывала <br>&gt; с другими софтами и продуктами. Британская Энциклопудия.<br><br>Практика показала на ситуацию с другими софтами и продуктами, а не с Let's Encrypt.<br> Уязвимость удостоверяющего центра StartSSL позволяла получит... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/108420.html#47 Fri, 01 Jul 2016 18:46:05 GMT Ну я же как-то онлайн-банкингом пользуюсь и деньги не украли. На счет сильно ограничивает - автор предыдущего комментария перегнул. Я бы сказал сильно увеличивает стоимость атаки (относительно, а не абсолютно). Вот и выходит так, что от того, кто может себе это позволить нет смысла защищать ибо он и так может влезть в дела большинства (мелкий, средний) бизнеса. Так и живем - чем дальше тем страшнее. <br> Уязвимость в сервисе StartSSL позволяла автоматически получи... (Fyjybvec) https://slinkov.ru/openforum/vsluhforumID3/108420.html#46 Fri, 01 Jul 2016 17:33:43 GMT Через постель<br> Уязвимость удостоверяющего центра StartSSL позволяла получит... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/108420.html#45 Fri, 01 Jul 2016 17:33:08 GMT &gt; Теперь все сертификаты StartSSL отзовут?<br><br>Надо бы. Но это вряд ли.<br> Уязвимость удостоверяющего центра StartSSL позволяла получит... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/108420.html#44 Fri, 01 Jul 2016 17:32:37 GMT &gt; Сама идея публичных УЦ и вся отрасль сертификатов - одна сплошная уязвимость. <br><br>Абсолютно с тобой согласен, Анон.<br><br>Это тот самый случай, когда иллюзия безопасности много хуже полной небезопасности.<br> Уязвимость удостоверяющего центра StartSSL позволяла получит... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/108420.html#43 Fri, 01 Jul 2016 17:31:30 GMT &gt; Скажем так - SSL (именно в "стандартном" виде, и иерархией CA) сильно <br>&gt; ограничивает круг тех, кто может влезть в ваш трафик. Настолько сильно, <br>&gt; что, к примеру, для абсолютного большинства бизнеса этого абсолютно достаточно. Точно <br>&gt; так же, как достаточно для защиты от всяких мелких хакеров, любителей <br>&gt; снифить общественный вайфай и т.д. Для дефолта, достающегося задарма - более <br>&gt; чем.<br><br>Туфта. Себя успокаиваешь?<br>