Уязвимость браузеров при проверке SSL-сертификатов

01.10.2009 15:30

Специалист по безопасности Джекоб Аппелбаум (Jacob Appelbaum) опубликовал SSL-сертификат и соответствующий секретный ключ, которые позволяют web-серверам избегать появления предупреждений о корректности сертификата в уязвимых браузерах - независимо от домена, для которого представлен сертификат. Фишеры, например, могут использовать сертификат, чтобы замаскировать их серверы под законные банковские сайты, которые будут обнаружены, только при более тщательном исследовании сертификата.

Для реализации трюка, Аппелбаум изменил сертификат согласно методу, продемонстрированному Мокси Марлинспайком (Moxie Marlinspike ) на конференции Black Hat, введя нулевой символ (\0) в поле имени (CN, Common Name). Однако, в отличие от Марлинспайк, Аппелбаум показал, что при задействовании маски'*' удалось создать универсальный сертификат для произвольных имен домена:


    CN= *\x00thoughtcrime.noisebridge.net
    OU = Moxie Marlinspike Fan Club
    O = Noisebridge
    L = San Francisco
    ST = California
    C = US

Тесты показали, что при обращении к домену с данным фиктивным сертификатом в уязвимых браузерах не выдаются предупреждения. Соответствующие обновления, не дающие попасться на нулевую уловку, доступны для почти всех популярных браузеров. Многие другие продукты и системы, которые проверяют сертификаты сервера, обеспечивая безопасное подключение SSL, были также обновлены. Аппелбаум не видит никаких проблем с публичным опубликованием его сертификата. Специалист говорит, что сертификат позволяет разработчикам проверять их собственные программы на эту уязвимость.

исправить +4 +/–

Главная ссылка к новости (http://www.h-online.com/open/S...)

Автор новости: PGCatabras

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/23678-SSH

Ключевые слова: SSH

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (9)

1.1, chemtech (?), 19:08, 01/10/2009 [ответить]	+1 +/–
Проверил так и есть. FireFox правда старый 3.0.14

2.2, chemtech (?), 19:13, 01/10/2009 [^] [^^] [^^^] [ответить]	+1 +/–
Блин. ошибка вышла.... "К сертификату нет доверия, так как он является самоподписанным. Сертификат действителен только для *\\x00thoughtcrime.noisebridge.net "

1.3, Аноним (-), 19:53, 01/10/2009 [ответить]	+/–
Так этот сертификат еше нужно протащить под цепочку центров сертификации. В принципе адеркватные центры должны фильтровать содержимое CN веб-сертификатов. Но, возможно, что у каких-либо центров будет автоматизирована покупка сертификатов и получится такой нормально подписать.

2.4, dry (ok), 20:39, 01/10/2009 [^] [^^] [^^^] [ответить]	+/–
вот вот. я бы даже сказал покажите мне тот уц, для которого это прокатит, тогда зачтем очко. в противном случае пионерская ересь. бо если речь идет о самоваренных сертификатах, то проблемы засунуть в cn нужный домен вообще не стоит. сделали из мухи слона, как это бывает в большинстве случаев.

3.5, Vi (?), 23:04, 01/10/2009 [^] [^^] [^^^] [ответить]	+1 +/–
А взять уже подписанный религия не позволяет?

4.6, Аноним (-), 07:55, 02/10/2009 [^] [^^] [^^^] [ответить]	+/–
Ага, а потом его изменить, да?

3.7, fi (ok), 14:00, 02/10/2009 [^] [^^] [^^^] [ответить]	+/–
а зачем через уц??? достаточно сделать chain из двух.

4.8, zazik (ok), 16:23, 02/10/2009 [^] [^^] [^^^] [ответить]	+/–
>а зачем через уц??? > >достаточно сделать chain из двух. А в итоге? Я не совсем догоняю.

1.9, Tav (?), 22:58, 02/10/2009 [ответить]	+/–
> публичным опубликованием ?

Добавить комментарий

Текст: