https://ssl.opennet.dev/openforum/vsluhforumID3/80040.html В сети зафиксирован (http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html) факт использования для организации атаки "man-in-the-middle (http://ru.wikipedia.org/wiki/%D0%A7%D0%B5%D0%BB%D0%BE%D0%B2%D0%B5%D0%BA_%D0%BF%D0%BE%D1%81%D0%B5%D1%80%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5)" (MITM) обманного SSL-сертификата, действующего для доменов *.google.com. Обманный сертификат был выдан удостоверяющим центром DigiNotar, т.е. формально для пользователя сессия выглядела полностью валидной. <br><br><br><br>Используя данный сертификат была предпринята попытка перенаправления трафика для использующих шифрование иранских пользователей Google через промежуточный узел, выдающий пользователям обманный сертификат, после чего организующий перехват трафика с его прозрачной трансляцией на оригинальные серверы Google с использованием обычных SSL-сертификатов Google. Работа через поддельный сайт ничем не отличалась от прямого обращения к серверу Google, браузеры считали HTTPS-сессию валидно...<br><br>URL: http://googleo https://ssl.opennet.dev/openforum/vsluhforumID3/80040.html#108 Sun, 11 Sep 2011 12:42:26 GMT &gt; Проблемы, на сколько я понимаю, не столько в архитектуре SSL, сколько в <br>&gt; реализации (до чёрта центров сертификации).<br><br>Проблема именно в архитектуре SSL. Погугли "OCSP". <br> https://ssl.opennet.dev/openforum/vsluhforumID3/80040.html#107 Sun, 11 Sep 2011 12:41:36 GMT &gt;&gt; Про техническую имплементацию можно послушать либо на ютубе - http://www.youtube.com/watch?v=Z7Wl2FW2TcA <br>&gt; что-то меня не тянет слушать. я хочу техническую документацию, с пояснениями идей <br>&gt; и реализации, чтобы вдумчиво помедитировать.<br>&gt;&gt; либо почитать в исходниках на гитхабе.<br>&gt; то есть, нормальной документации нет. благодарю, всё ясно: лихим кавалерийским наскоком, <br>&gt; с развевающимися пионерскими галстуками. not interested, несерьёзно это всё. детский сад, <br>&gt; штаны на лямках.<br><br>Гугли "архитектура PKI", "X500", "X509" до просветления.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/80040.html#106 Sun, 11 Sep 2011 12:40:36 GMT &gt; второй взлом за год ? оригинальненько..<br>&gt; Сначала Commodo, теперь DigiNotar <br><br>Писал бы без ошибок. COMODO, собственно. И они, вообще, славятся своими разработками в области безопасности, в отличие от тебя, тащемта.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/80040.html#105 Sun, 11 Sep 2011 12:38:37 GMT &gt; В связи с потерей доверия © <br><br>В x509 эта процедура не предусмотрена. Курить надо матчасть, прежде, чем кидаться умными идеями.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/80040.html#104 Sun, 11 Sep 2011 12:37:05 GMT &gt; Рядом человек предложил другую идею: подписывать сертификат не одним CA, а несколькими. <br>&gt; Тогда, чтобы получить поддельный, нужно будет сломать все CA, подписавшие сертификат. <br>&gt; С другой стороны, это может быть опциональным: можно сгенерировать самоподписанный сертификат, <br>&gt; можно его подписать в одном СА, а можно - в нескольких. <br>&gt; Вася Пупкин для своей домашней странички может ограничиться первым вариантом, а <br>&gt; крупные сайты - последним. Эта идея будет работать, что подтверждает сама <br>&gt; новость: <br><br>Это бы работало при одном условии - если не принимается один подписавший CA - не принимается весь сертификат в целом.<br><br>А теперь представь это на практике. Дюжина подписантов. Крупный ресурс. Один серт горит красным. Всех юзеров откидывает на disney.com. Миллионы жалоб админам. Писец? Представил?<br> https://ssl.opennet.dev/openforum/vsluhforumID3/80040.html#103 Sun, 11 Sep 2011 12:34:22 GMT А он и накрылся, если ты не понял. Коллапс деревьев доверия, предсказанный Брюсом - он уже начался.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/80040.html#102 Sat, 03 Sep 2011 08:50:43 GMT Про этот удостоверяющий центр уже писали, что это типо очередная подставная фирмочка ЦРУ, каким счёту нет, проводила сбор информации в Иране в целях подготовки ведения военных действий там. Дело в том, что по законам любого штата США, общей сложившейся обстановке и судебной практике на ЦРУ наехать невозможно, поэтому они и творят, что хотят, всё шито-крыто.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/80040.html#101 Fri, 02 Sep 2011 23:18:45 GMT Да уж... сочувствую. Но тем не менее тревогу можно забить.<br>И кроме того, хотя бы то что, как частное лицо я могу выбирать уже хорошо.<br>PS Слава богу еще ни разу не видел что у банка был просроченный сертификат или подписанный неизвестно кем.<br> <br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/80040.html#100 Fri, 02 Sep 2011 06:10:03 GMT &gt; Можно просто в авиакомпанию или в банк, чей сертификат не валиден позвонить. <br>&gt; Уверен что служба безопасности быстро с вопросом разберется.<br>&gt; А я лично, если например у сайта банка будет не валидный сертификат, <br>&gt; не буду логинится в "банк-клиент" или покупать биллеты. А если выясниться, <br>&gt; что сертификат невалиден по недосмотру сотрудников банка/авиакомпании серьезно задумаюсь <br>&gt; о том чтобы поменять банк/перестать пользоваться услугами этой авиакомпании.<br><br>Эх, если б всё было так просто. А вот когда с банком фирма уже давно работает, и тут вдруг такая нехорошесть вылезает &#8212; что делать? Кроме сисадмина ведь никто обычно не оценит уровень опасности. И фирма продолжит работать с этим банком. Потому что у неё уже многое на оном банке завязано, а резону не видят.<br><br>И, в принципе, они правы. Потому что российские банки в этом плане практически все поголовно (во всяком случае, все, с которыми приходилось в данном ключе работать) страдают криворукостью. Вернее, страдают клиенты, от драконовских мер,