The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Исследование состояния SSL-сертификатов в сети"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Исследование состояния SSL-сертификатов в сети"  +/
Сообщение от opennews (ok) on 09-Авг-10, 13:22 
В рамках проекта SSL Observatory (https://www.eff.org/observatory), поддерживаемого организацией EFF (Electronic Frontier Foundation), проведено исследование по изучению особенностей использования SSL-сертификатов в сети Интернет. После трех месяцев непрерывного сканирования было зафиксировано (https://www.eff.org/files/DefconSSLiverse.pdf) 16.2-миллиона IP-адресов, принимающих запросы по 443 порту. Из них к 10.8 млн. удалось инициировать SSL-соединение, при этом  у 4.3 млн. были зафиксированы утвержденные сертификаты, из которых только у 1.3 млн. все поля сертификата были заполнены полностью корректно.


Интересно, что более шести тыс. сертификатов были привязаны к хосту "localhost". Около 28 тыс. сертификатов созданы при помощи приватных ключей, сгенерированных пакетом OpenSSL из Debian, содержащим опасную проблему безопасности (https://www.opennet.ru/opennews/art.shtml?num=15846), позволяющую предугадать значения ключей шифрования из-за недостаточной случайной энтропии.

URL: https://www.eff.org/observatory
Новость: https://www.opennet.ru/opennews/art.shtml?num=27563

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Исследование состояния SSL-сертификатов в сети"  –5 +/
Сообщение от Аноним123321 (ok) on 09-Авг-10, 13:22 
> сгенерированных пакетом OpenSSL ...

это конешно печально... OpenSSL съел всем мозг

видимо долго народ будет переходить на certtool (из GnuTLS) . впрочем пусть чем хотят генерируют, мне как конечному пользователю сёравно

просто жалко что поддержку OpenSSL пихают во всё что не поподя, а потом программисты поддавшить на эти массовые провокации начинают пихать зависимости от libssl в свои программы :-( :-(

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Исследование состояния SSL-сертификатов в сети"  –1 +/
Сообщение от User294 (ok) on 09-Авг-10, 13:40 
> это конешно печально... OpenSSL съел всем мозг

Дело было не в бобине (OpenSSL). Раздолбай сидел в кабине! Дебианские майнтайнеры решили что они умнее всех, ну и сунули свои лапы в криптографию, соптимизив чутка. За что и поплатились, облажавшись на мелочах, что в криптографии сплошь и рядом. Остальные то не облажались, а?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Исследование состояния SSL-сертификатов в сети"  +1 +/
Сообщение от Анонимко on 09-Авг-10, 23:44 
Никуда они не лазили.
На запрос дебиановского мантейнера к авторам из команды openbsd, мол, что этот патч дает, ответ получен не был.
Так что, проблема заключалась лишь в отсутствии собственных специалистов в проекте.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Исследование состояния SSL-сертификатов в сети"  –1 +/
Сообщение от Аноним (??) on 10-Авг-10, 06:38 
Не гвозди о чём не знаешь! Именно что лопухнулся студент из демьяна, нашел что память неинициализированную юзает да и исправил ... школяр :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Исследование состояния SSL-сертификатов в сети"  +/
Сообщение от Одмин on 10-Авг-10, 23:50 
надо писать проги так чтобы дебаггер не орал, использование неинициализированной памяти это хреновый приём в программировании.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Исследование состояния SSL-сертификатов в сети"  +/
Сообщение от Аноним (??) on 11-Авг-10, 06:04 
Вот такой же умник и проявил бдительность - вот мол Valgrind ругается, а он большой - ему видней ... :)
А оказалось что это нужно "to add entropy to the pool" http://wiki.debian.org/SSLkeys
Вот и оказывается что дураку и стетоскоп - смертельно опасный инструмент :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Исследование состояния SSL-сертификатов в сети"  +/
Сообщение от Аноним123321 (ok) on 11-Авг-10, 14:28 
> Остальные то не облажались, а?

ты кто админ или программист?

если админ -- то всё что я напишу ниже -- можешь не читать...

..а если программист -- по почитай лицензию на OpenSSL....
вней написанно что ежеле встроешь какойнить кусок коду оттуда, то обязан РЕКЛАМИРОВАТЬ этот OpenSSL в своей новой программе. и ясное дело что никакие тебе уже GNU_GPL не светят

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Исследование состояния SSL-сертификатов в сети"  +/
Сообщение от slepnoga (??) on 09-Авг-10, 18:21 
>видимо долго народ будет переходить на certtool (из GnuTLS) .

nss  тогда уж

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Исследование состояния SSL-сертификатов в сети"  +2 +/
Сообщение от я on 09-Авг-10, 16:28 
Почему это вдруг все должны отказаться от OpenSSL который пилили столько лет. Который совсем недавно стал 1.0.0, что говорит, о том что разработчики наконец-то устаканили API и признали его стабильным. В нем даже ГОСТ наш идиотский теперь есть. А тут появляется анонимный аналитик и заявляет - "ф топку".
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Исследование состояния SSL-сертификатов в сети"  +1 +/
Сообщение от ххх on 09-Авг-10, 17:11 
почему идиотский? американцы/китайцы уже имеют универсальный приватный ключ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Исследование состояния SSL-сертификатов в сети"  +/
Сообщение от Аноним123321 (ok) on 11-Авг-10, 14:33 
>Почему это вдруг все должны отказаться от OpenSSL который пилили столько лет.
>Который совсем недавно стал 1.0.0, что говорит, о том что разработчики
>наконец-то устаканили API и признали его стабильным. В нем даже ГОСТ
>наш идиотский теперь есть. А тут появляется анонимный аналитик и заявляет
>- "ф топку".

потомучто он не GPL/LGPL и не BSD/MIT ... а обычный EULA [с довольно серъёзными требованиями]
(ну и что что исходники открыты? сёравно это НЕ СВОБОДНОЕ ПО. и править эти исходники так как тебе захочется ты НЕ ИМЕЕШЬ право)

колгда пилили -- нада было смотреть что пилили

[тоесть смотреть на то -- что работаешь на ДЯДЮ а не на прогресс. дядя теперь сказал спасибо пелилщикам, а для проггреса пелильщики не сделали ни фига!!].....

...а это я с такимже успехом могу [работая в Microsoft] пилить IE... и потом также как ты заявить:
"мы 15 лет пилили IE, дополили его до ACID-3 95%, а теперь вы говорите что его нада в топку?!"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Исследование состояния SSL-сертификатов в сети"  +/
Сообщение от Sylvia (ok) on 09-Авг-10, 23:12 
>к 10.8 млн. удалось инициировать SSL-соединение, при этом у 4.3 млн. были зафиксированы утвержденные сертификаты

это отношение self signed (60%) к подтвержденным RootCA (40%) ? Что-то очень оптимистично по отношению к подтвержденным. Или они не это имели ввиду под "утвержденные" ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Исследование состояния SSL-сертификатов в сети"  +/
Сообщение от freedom (??) on 11-Авг-10, 16:30 
в оригинале:
10.8M started an SSL handshake
4.3+ M used valid cert chains
1.3+ M distinct valid leaves

т.е RootCA 10%
из них
300,224 – signed by one GoDaddy cert
244,185 – signed by one Equifax cert

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру