https://www.opennet.me/openforum/vsluhforumID3/75710.html Стали известны дополнительные подробности причин экстренного обновления черных списков SSL-сертификатов в Firefox (http://www.opennet.ru/opennews/art.shtml?num=29998), Chrome/Chromium (http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates_17.html) и других web-браузерах. По данным (https://blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusion) из блога разработчиков проекта Tor злоумышленникам удалось получить восемь валидных HTTPS-сертификатов для ряда известных web-ресурсов, среди которых сайты Facebook, Skype, Google, Microsoft и Mozilla (реально, поддельных сертификатов может быть больше, в трафике сети Tor было выявлено 8). <br><br><br>Предполагается, что подобное стало возможным в результате компрометации центра сертификации Comodo (CA (http://ru.wikipedia.org/wiki/%D0%A6%D0%B5%D0%BD%D1%82%D1%80_%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D0%B8)). Используя данные сертификаты злоумышленники могут...<br><br>URL: https://blog.t https://www.opennet.me/openforum/vsluhforumID3/75710.html#29 Mon, 04 Apr 2011 09:24:40 GMT сценарий такой только при использовании rsa; возможен также вариант с diffie-hellman<br> https://www.opennet.me/openforum/vsluhforumID3/75710.html#28 Thu, 24 Mar 2011 09:31:25 GMT Все так. Поэтому и существуют CA, чьи сертификаты распространяются вместе с браузером и которые подтверждают аутентичность сертификата сервера.<br>В чем гнилость протокола и какие есть еще варианты?<br> https://www.opennet.me/openforum/vsluhforumID3/75710.html#27 Thu, 24 Mar 2011 08:57:06 GMT Это понятно, но система же должна реагировать как-то, когда на домен, для которого есть существующий и действенный сертификат хотят получить новый. Тут должна происходить какая-то подстраховка.<br> https://www.opennet.me/openforum/vsluhforumID3/75710.html#26 Thu, 24 Mar 2011 08:39:59 GMT ну ничего ж не мешает Comodo иметь blacklist`ы<br> https://www.opennet.me/openforum/vsluhforumID3/75710.html#25 Thu, 24 Mar 2011 08:36:51 GMT А-а-, дак вы имеете в виду Man-In-the- Middle атаку. Ну дак и в чем тут гнилость протокола? Если вы предоставили клиенту КОРРЕКТНЫЙ сертификат, подменили DNS-запись, то какие претензии к протоколу то? Может это DNS гнилой? :) Или ARP? :) По-вашему получается гнилое все ассиметричное шифрование, как класс.<br> https://www.opennet.me/openforum/vsluhforumID3/75710.html#24 Thu, 24 Mar 2011 08:17:38 GMT Дык читал, и дырку вижу, хотя может просто чего то и недопонял, вы не кипешуйте так, если объясните в чем я не прав и чего не понимаю то буду вам весьма благодарен.<br><br>Мы посередине. Значит в начале можем вместо сертификата сервера подсунуть клиенту свой (самоподписанность также обходится), и соответственно расшифровать его запрос, т.к. алгоритм формирования сеансового ключа известен и закрытая часть ключа у нас есть. Далее расшифровав клиентский запрос мы формируем и отправляем серверу свой запрос, как будто мы изначальный клиент, и далее действуем как прокси, ну и собственно все.<br> https://www.opennet.me/openforum/vsluhforumID3/75710.html#23 Thu, 24 Mar 2011 07:39:43 GMT Они же не вручную создаются.<br>Пришёл заказ -&gt; снялись деньги -&gt; поставилась подпись<br><br>Люди обычно смотрят когда что-то стопорится, идёт не так.<br> https://www.opennet.me/openforum/vsluhforumID3/75710.html#22 Thu, 24 Mar 2011 07:22:10 GMT Вот мне интерестно почему у Comodo не вызвало подозрение то, что ВНЕЗАПНО одновременно гуглу, яху, скайпу и мозилле понадобились сертификаты?<br> https://www.opennet.me/openforum/vsluhforumID3/75710.html#21 Thu, 24 Mar 2011 07:00:42 GMT Принцип не гнилой. Гнилой сам подход к его реализации в некоторых клиентских программах и браузерах, когда по умолчанию сертификаты ПРОХОДЯТ проверку при отсутствии доступа к серверу OCSP (серверу, содержащими список отозванных сертификатов). В частности, в Firefox 4.0 по умолчанию сертификат считается валидным, если нет доступа к серверу OCSP. В настройках Дополнительные -&gt; Шифрование -&gt; Настройки OCSP можно изменить это злосчастное умолчание, если взвести галочку "При ошибке соединения с сервером OCSP, рассматривать сертификат как недействительный". ;)<br>