The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

21.10.2016 23:38  Уязвимость в удостоверяющем центре Comodo позволила получить сертификат для чужого домена

Исследователи безопасности продемонстрировали наличие в удостоверяющем центре Comodo уязвимости, позволившей им получить сертификат для не принадлежащего им домена. Информация о проведённом эксперименте была направлена в Comodo и проблема уже устранена.

Comodo использует для получения контактного адреса владельца домена сервис WHOIS, но так как серверы WHOIS для доменов .eu и .be выдают информацию не в текстовом виде, а показывая картинку, в Comodo для перевода информации в текст используется система распознавания текста (OCR). Суть проблемы в том, что OCR неверно интерпретирует некоторые похожие по начертанию символы и цифры, например, путает "1" (один) и "l" (строчная L) или "0" (ноль) и "O" (прописная o). Для обхода этой особенности, в OCR была добавлена специальная проверка, которая интерпретировала спорный знак как цифру, если рядом расположены цифры, или как букву, если знак окружают буквы.

Исследователи провели эксперимент и успешно получили сертификат для сайта a1-telekom.eu крупного австрийского провайдера A1 Telekom, имеющего несколько миллионов клиентов. WHOIS-сервис выдаёт в качестве контактного адреса для домена a1-telekom.eu картинку с email "domain.billing@a1telekom.at", но OCR распознаёт адрес как "domain.billing@altelekom.at" и отправляет на него код подтверждения. Исследователи зарегистрировали новый домен "altelekom.at" и успешно получили полноценный сертификат для домена a1-telekom.eu.

  1. Главная ссылка к новости (https://www.mail-archive.com/d...)
  2. OpenNews: Comodo пытается завладеть брендом Let's Encrypt
  3. OpenNews: ПО Comodo Internet Security подменяло Chrome на незащищённый клон браузера
  4. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  5. OpenNews: Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена
  6. OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: comodo
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Омомим, 23:43, 21/10/2016 [ответить] [смотреть все]
  • +/
    Чёт комод не первый раз уже с такой фигнёй светится.
    Друзья,а кто где берет серты? Кто что порекомендует для хттпс?
     
     
  • 2.3, Ano, 23:46, 21/10/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +12 +/
    Let's Encrypt
     
     
  • 3.11, Z, 02:13, 22/10/2016 [^] [ответить] [смотреть все]
  • +/
    А почему тогда LOR комодовским сертификатом пользуется?
     
     
  • 4.13, Аноним, 02:39, 22/10/2016 [^] [ответить] [смотреть все]
  • –1 +/
    Потому что у них разный ранг типа.
     
     
  • 5.37, Онаним, 19:43, 22/10/2016 [^] [ответить] [смотреть все]
  • +1 +/
    И какая разница? Зачем может быть нужен другой ранг?
     
  • 5.59, Аноним, 19:59, 25/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Это ты так намекаешь что lor всего лишь какой-то обсиженный мухами домен третьег... весь текст скрыт [показать]
     
  • 4.14, Аноним, 02:41, 22/10/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    В Let s encrypt сертификат подтверждает что его выписал тот кто имеет доступ к с... весь текст скрыт [показать]
     
     
  • 5.22, бугага, 11:53, 22/10/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    У Comodo всякие сертификаты есть - Domain validation, Organization validation, E... весь текст скрыт [показать]
     
  • 4.23, Dimez, 12:03, 22/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Это же очевидно - из-за qrator.
     
  • 4.31, А, 15:04, 22/10/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну вы так пишете, будто бы LOR показатель )
     
     
  • 5.34, Семилетов, 18:35, 22/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Вне ЛОРа нет интернетов.
     
  • 4.42, GG, 17:28, 23/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Потому что у макскома руки из жопы растут и летсенкрипт он не осилил
     
  • 2.4, Аноним, 00:25, 22/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    digicert
     
  • 2.6, dry, 00:41, 22/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    Вопрос поставлен не правильно. От того что лично ты выберешь другой CA ничего не изменится. Достаточно одного дегенеративного CA чтобы разрушить всю систему доверия.
     
     
  • 3.8, Crazy Alex, 01:10, 22/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    man certificate pinning
     
     
  • 4.10, Laguna, 02:07, 22/10/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Вам тоже не мешало бы Это совсем частный случай и никакого отношения к проблеме... весь текст скрыт [показать]
     
     
  • 5.29, Crazy Alex, 14:41, 22/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Так реальные решения почти всегда - для частных случаев Тех, которых абсолютное... весь текст скрыт [показать]
     
  • 4.44, Sw00p aka Jerom, 02:11, 24/10/2016 [^] [ответить] [смотреть все]  
  • +/
    TLSA -не?
     
  • 4.46, пох, 10:56, 24/10/2016 [^] [ответить] [смотреть все]  
  • +/
    о да, это очень полезная штука, например, для microsoft - прятать свои троянцы т... весь текст скрыт [показать]
     
  • 2.7, Аноним, 00:42, 22/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    letsencrypt, конечно, нече кормить буржуев
     
  • 2.15, Какаянахренразница, 04:13, 22/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    +1 к letsencrypt
     
  • 2.27, anomymous, 13:50, 22/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Если дёшево - GoGetSSL, впрочем, это та же комода, только небрендированная Там ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, Samm, 14:11, 22/10/2016 [^] [ответить] [смотреть все]  
  • +/
    это просто у вас руки из жопы и без вебморды неспособность сделать простейшее д... весь текст скрыт [показать]
     
     
  • 4.36, Аноним, 19:13, 22/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Просто тут это оставлю, может осилишь https ru wikipedia org wiki D0 AD D1 84... весь текст скрыт [показать]
     
  • 3.41, xm, 17:19, 23/10/2016 [^] [ответить] [смотреть все]  
  • +/
    certbot renew по cron'у раз в неделю это пипец какое мучение, да.
     
     
  • 4.47, пох, 11:06, 24/10/2016 [^] [ответить] [смотреть все]  
  • +/
    если сертификат тебе для галочки - то да, никаких проблем Если тебе все же ест... весь текст скрыт [показать]
     
     
  • 5.55, xm, 15:46, 24/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну слушайте, в такой логике можно заявить что всё имеет тенденцию глючить, лома... весь текст скрыт [показать]
     
  • 3.45, scorry, 10:42, 24/10/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Видел тут на хабре обидку от какого-то юзера, который жаловался мол, зачем хост... весь текст скрыт [показать]
     
  • 2.62, architectofruin, 17:58, 26/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Как вариант, советую проверенный магазин сертификатов LeaderSSL Среди их клиент... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, A.Stahl, 23:43, 21/10/2016 [ответить] [смотреть все]  
  • +15 +/
    >выдают информацию не в текстовом виде, а показывая картинку

    Пусть лучше поют. Или даже можно поставить балет-оперу, аллегорически подающую информацию WHOIS.

     
     
  • 2.16, Какаянахренразница, 04:16, 22/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    На экзамене Препод Так ты знаешь ответ Я Да Сейчас э ну, как бы это ... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Аноним, 00:26, 22/10/2016 [ответить] [смотреть все]  
  • +1 +/
    Они доигрались, теперь только дело времени когда браузеры заблокируют.
     
     
  • 2.12, Z, 02:15, 22/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Сколько ты готов на это поставить Еще ни один штатовский CA не заблокировали, э... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Какаянахренразница, 04:22, 22/10/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Не мешай людям мечтать Я тоже, кстати, испытываю сладостную негу от одной мысли... весь текст скрыт [показать]
     
  • 3.18, Ergil, 07:44, 22/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Слушай, а ты под кроватью американцев не видишь А то у тебя и тут во всем винов... весь текст скрыт [показать]
     
     
  • 4.19, A.Stahl, 08:50, 22/10/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    >а ты под кроватью американцев не видишь?

    Так он оттуда их и ненавидит...

     
  • 4.26, Michael Shigorin, 13:12, 22/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Если процитировать всё вместе, то становится видно, что человек привёл свои набл... весь текст скрыт [показать]
     
  • 1.9, KonstantinB, 01:51, 22/10/2016 [ответить] [смотреть все]  
  • +10 +/
    Никогда такого не было, и вот опять!
     
  • 1.20, Аноним, 11:09, 22/10/2016 [ответить] [смотреть все]  
  • +1 +/
    Хы, забавно, залез на сайт регистратора, указанного на сайте IANA для eu https... весь текст скрыт [показать]
     
     
  • 2.33, А, 15:07, 22/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Странно, что Comodo немаленькая контора, если что не смогли с whois этих TLD п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Аноним, 01:27, 23/10/2016 [^] [ответить] [смотреть все]  
  • +/
    $ whois tonic.to
    Tonic whoisd V1.1
    tonic no_dns
     
  • 1.21, Аноним, 11:24, 22/10/2016 [ответить] [смотреть все]  
  • +/
    Всё это хорошая иллюстрация того, каким неудобным является латинский алфавит Пр... весь текст скрыт [показать]
     
     
  • 2.30, Crazy Alex, 14:53, 22/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Нет, это хорошая иллюстрация того, что некоторые применяют неадекватные ситуации... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.48, КО, 12:02, 24/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Сервис по задумке авторов должен был быть машино- b не b читаемым Чтоб спам не... весь текст скрыт [показать]
     
  • 3.51, scorry, 12:46, 24/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Ага, конечно То-то в некоторых Штатах обратно курсив в младших школах вводят ... весь текст скрыт [показать]
     
  • 2.38, angra, 21:50, 22/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Да что ты говоришь А куда у тебя делись П и Л, 3 и З, К и Н, Ы и ЬI А что тогд... весь текст скрыт [показать] [показать ветку]
     
  • 2.43, Аноним, 20:00, 23/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это проблемы шрифтов, а не алфавита См https ru wikipedia org wiki D0 92 D0 ... весь текст скрыт [показать] [показать ветку]
     
  • 2.49, Аноним84701, 12:02, 24/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну-ну Вариаций в т ч и школьного варианта написания там ведь не бывает, да... весь текст скрыт [показать] [показать ветку]
     
  • 2.50, scorry, 12:31, 24/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы рукописную латиницу где изучали, хочу поинтересоваться ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, Michael Shigorin, 12:53, 24/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Кстати, если Вы вдруг в курсе dot cross _вторым_ проходом сейчас на практике вс... весь текст скрыт [показать]
     
     
  • 4.54, scorry, 13:48, 24/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ннннууууу, конечно У тех, кто курсивом пишет, естественно Правка я к курсиву ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (9)

  • 1.24, A.Stahl, 12:24, 22/10/2016 [ответить] [смотреть все]  
  • +/
    >в рукописном письме латиница характерна бесконечными отрывами руки

    Именно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишиши.

     
     
  • 2.40, Какаянахренразница, 09:47, 23/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    --Где три тысячи тридцатый?
    --Товарищ командир, вооьще-то меня зовут Зозо...
     
  • 2.56, AlexYeCu_not_logged, 17:25, 24/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >Именно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишиш

    RUS И 1
    LAT I 1
    LAT l 1

     
     
  • 3.57, AlexYeCu_not_logged, 17:27, 24/10/2016 [^] [ответить] [смотреть все]  
  • +/
    О, всё ещё веселее!
    LAT | I l


     
     
  • 4.61, Аноним, 13:08, 26/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Это здорово, но справка, больничный, рецепт или медицинская карта на русском язы... весь текст скрыт [показать]
     
  • 3.58, scorry, 17:32, 24/10/2016 [^] [ответить] [смотреть все]  
  • +/
    >>Именно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишиш
    > RUS И 1
    > LAT I 1
    > LAT l 1

    Это не рукописный, а печатный текст. Вы на самом деле не умеете читать или намеренно дурака валяете?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor