https://www.opennet.ru/openforum/vsluhforumID3/59504.html Специалист по безопасности Джекоб Аппелбаум (Jacob Appelbaum) опубликовал (https://www.noisebridge.net/pipermail/noisebridge-discuss/2009-September/008400.html) SSL-сертификат и соответствующий секретный ключ, которые позволяют web-серверам избегать появления предупреждений о корректности сертификата в уязвимых браузерах - независимо от домена, для которого представлен сертификат. Фишеры, например, могут использовать сертификат, чтобы замаскировать их серверы под законные банковские сайты, которые будут обнаружены, только при более тщательном исследовании сертификата.<br><br><br>Для реализации трюка, Аппелбаум изменил сертификат согласно методу, продемонстрированному Мокси Марлинспайком (Moxie Marlinspike ) на конференции Black Hat, введя нулевой символ (\0) в поле имени (CN, Common Name). Однако, в отличие от Марлинспайк, Аппелбаум показал, что при задействовании маски'*' удалось создать универсальный сертификат для произвольных имен домена:<br><br><br><br><br> CN= *\x00thoughtcrime.noisebridge.net...<br><br>URL: http://www.h-o https://www.opennet.ru/openforum/vsluhforumID3/59504.html#9 Fri, 02 Oct 2009 18:58:48 GMT &gt; публичным опубликованием<br><br>?<br> https://www.opennet.ru/openforum/vsluhforumID3/59504.html#8 Fri, 02 Oct 2009 12:23:55 GMT &gt;а зачем через уц??? <br>&gt;<br>&gt;достаточно сделать chain из двух. <br><br>А в итоге? Я не совсем догоняю.<br> https://www.opennet.ru/openforum/vsluhforumID3/59504.html#7 Fri, 02 Oct 2009 10:00:39 GMT а зачем через уц???<br><br>достаточно сделать chain из двух.<br> https://www.opennet.ru/openforum/vsluhforumID3/59504.html#6 Fri, 02 Oct 2009 03:55:54 GMT Ага, а потом его изменить, да?<br> https://www.opennet.ru/openforum/vsluhforumID3/59504.html#5 Thu, 01 Oct 2009 19:04:55 GMT А взять уже подписанный религия не позволяет?<br> https://www.opennet.ru/openforum/vsluhforumID3/59504.html#4 Thu, 01 Oct 2009 16:39:49 GMT вот вот.<br>я бы даже сказал покажите мне тот уц, для которого это прокатит, тогда зачтем очко. в противном случае пионерская ересь. бо если речь идет о самоваренных сертификатах, то проблемы засунуть в cn нужный домен вообще не стоит.<br>сделали из мухи слона, как это бывает в большинстве случаев.<br> https://www.opennet.ru/openforum/vsluhforumID3/59504.html#3 Thu, 01 Oct 2009 15:53:36 GMT Так этот сертификат еше нужно протащить под цепочку центров сертификации. В принципе адеркватные центры должны фильтровать содержимое CN веб-сертификатов. Но, возможно, что у каких-либо центров будет автоматизирована покупка сертификатов и получится такой нормально подписать.<br> https://www.opennet.ru/openforum/vsluhforumID3/59504.html#2 Thu, 01 Oct 2009 15:13:57 GMT Блин. ошибка вышла....<br>"К сертификату нет доверия, так как он является самоподписанным.<br>Сертификат действителен только для *\\x00thoughtcrime.noisebridge.net<br>"<br> https://www.opennet.ru/openforum/vsluhforumID3/59504.html#1 Thu, 01 Oct 2009 15:08:42 GMT Проверил так и есть.<br>FireFox правда старый 3.0.14<br>