The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

21.10.2016 23:38  Уязвимость в удостоверяющем центре Comodo позволила получить сертификат для чужого домена

Исследователи безопасности продемонстрировали наличие в удостоверяющем центре Comodo уязвимости, позволившей им получить сертификат для не принадлежащего им домена. Информация о проведённом эксперименте была направлена в Comodo и проблема уже устранена.

Comodo использует для получения контактного адреса владельца домена сервис WHOIS, но так как серверы WHOIS для доменов .eu и .be выдают информацию не в текстовом виде, а показывая картинку, в Comodo для перевода информации в текст используется система распознавания текста (OCR). Суть проблемы в том, что OCR неверно интерпретирует некоторые похожие по начертанию символы и цифры, например, путает "1" (один) и "l" (строчная L) или "0" (ноль) и "O" (прописная o). Для обхода этой особенности, в OCR была добавлена специальная проверка, которая интерпретировала спорный знак как цифру, если рядом расположены цифры, или как букву, если знак окружают буквы.

Исследователи провели эксперимент и успешно получили сертификат для сайта a1-telekom.eu крупного австрийского провайдера A1 Telekom, имеющего несколько миллионов клиентов. WHOIS-сервис выдаёт в качестве контактного адреса для домена a1-telekom.eu картинку с email "domain.billing@a1telekom.at", но OCR распознаёт адрес как "domain.billing@altelekom.at" и отправляет на него код подтверждения. Исследователи зарегистрировали новый домен "altelekom.at" и успешно получили полноценный сертификат для домена a1-telekom.eu.

  1. Главная ссылка к новости (https://www.mail-archive.com/d...)
  2. OpenNews: Comodo пытается завладеть брендом Let's Encrypt
  3. OpenNews: ПО Comodo Internet Security подменяло Chrome на незащищённый клон браузера
  4. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  5. OpenNews: Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена
  6. OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: comodo
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Омомим (?), 23:43, 21/10/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Чёт комод не первый раз уже с такой фигнёй светится.
    Друзья,а кто где берет серты? Кто что порекомендует для хттпс?
     
     
  • 2.3, Ano (?), 23:46, 21/10/2016 [^] [ответить]    [к модератору]
  • +12 +/
    Let's Encrypt
     
     
  • 3.11, Z (??), 02:13, 22/10/2016 [^] [ответить]    [к модератору]
  • +/
    А почему тогда LOR комодовским сертификатом пользуется?
     
     
  • 4.13, Аноним (-), 02:39, 22/10/2016 [^] [ответить]    [к модератору]
  • –1 +/
    Потому что у них разный ранг типа.
     
     
  • 5.37, Онаним (?), 19:43, 22/10/2016 [^] [ответить]    [к модератору]
  • +1 +/
    И какая разница? Зачем может быть нужен другой ранг?
     
  • 5.59, Аноним (-), 19:59, 25/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Это ты так намекаешь что lor всего лишь какой-то обсиженный мухами домен третьего уровня? :)
     
  • 4.14, Аноним (-), 02:41, 22/10/2016 [^] [ответить]     [к модератору]  
  • –3 +/
    В Let s encrypt сертификат подтверждает что его выписал тот кто имеет доступ к с... весь текст скрыт [показать]
     
     
  • 5.22, бугага (?), 11:53, 22/10/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    У Comodo всякие сертификаты есть - Domain validation, Organization validation, Extended validation. Не вводите людей в заблуждение
     
  • 4.23, Dimez (??), 12:03, 22/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Это же очевидно - из-за qrator.
     
  • 4.31, А (??), 15:04, 22/10/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Ну вы так пишете, будто бы LOR показатель )
     
     
  • 5.34, Семилетов (ok), 18:35, 22/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Вне ЛОРа нет интернетов.
     
  • 4.42, GG (ok), 17:28, 23/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Потому что у макскома руки из жопы растут и летсенкрипт он не осилил
     
  • 2.4, Аноним (-), 00:25, 22/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    digicert
     
  • 2.6, dry (ok), 00:41, 22/10/2016 [^] [ответить]    [к модератору]  
  • +9 +/
    Вопрос поставлен не правильно. От того что лично ты выберешь другой CA ничего не изменится. Достаточно одного дегенеративного CA чтобы разрушить всю систему доверия.
     
     
  • 3.8, Crazy Alex (ok), 01:10, 22/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    man certificate pinning
     
     
  • 4.10, Laguna (?), 02:07, 22/10/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > man certificate pinning

    Вам тоже не мешало бы. Это совсем частный случай и никакого отношения к проблеме в общем не имеет.

     
     
  • 5.29, Crazy Alex (ok), 14:41, 22/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Так реальные решения почти всегда - для частных случаев. Тех, которых абсолютное большинство. Более общее решение - Certificate Transparency, как оказалось, кроме гугла никому не нужно.
     
  • 4.44, Sw00p aka Jerom (?), 02:11, 24/10/2016 [^] [ответить]    [к модератору]  
  • +/
    TLSA -не?
     
  • 4.46, пох (?), 10:56, 24/10/2016 [^] [ответить]     [к модератору]  
  • +/
    о да, это очень полезная штука, например, для microsoft - прятать свои троянцы т... весь текст скрыт [показать]
     
  • 2.7, Аноним (-), 00:42, 22/10/2016 [^] [ответить]    [к модератору]  
  • +/
    letsencrypt, конечно, нече кормить буржуев
     
  • 2.15, Какаянахренразница (ok), 04:13, 22/10/2016 [^] [ответить]    [к модератору]  
  • +/
    +1 к letsencrypt
     
  • 2.27, anomymous (?), 13:50, 22/10/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Если дёшево - GoGetSSL, впрочем, это та же комода, только небрендированная Там ... весь текст скрыт [показать]
     
     
  • 3.28, Samm (??), 14:11, 22/10/2016 [^] [ответить]    [к модератору]  
  • +/
    это просто у вас руки из жопы. и без вебморды неспособность сделать простейшее действие
     
     
  • 4.36, Аноним (-), 19:13, 22/10/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Просто тут это оставлю, может осилишь https ru wikipedia org wiki D0 AD D1 84... весь текст скрыт [показать]
     
  • 3.41, xm (ok), 17:19, 23/10/2016 [^] [ответить]    [к модератору]  
  • +/
    certbot renew по cron'у раз в неделю это пипец какое мучение, да.
     
     
  • 4.47, пох (?), 11:06, 24/10/2016 [^] [ответить]     [к модератору]  
  • +/
    если сертификат тебе для галочки - то да, никаких проблем Если тебе все же ест... весь текст скрыт [показать]
     
     
  • 5.55, xm (ok), 15:46, 24/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Ну слушайте, в такой логике можно заявить что всё имеет тенденцию глючить, лома... весь текст скрыт [показать]
     
  • 3.45, scorry (ok), 10:42, 24/10/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    Видел тут на хабре обидку от какого-то юзера, который жаловался мол, зачем хост... весь текст скрыт [показать]
     
  • 2.62, architectofruin (?), 17:58, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Как вариант, советую проверенный магазин сертификатов LeaderSSL Среди их клиент... весь текст скрыт [показать]
     
  • 1.2, A.Stahl (ok), 23:43, 21/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +15 +/
    >выдают информацию не в текстовом виде, а показывая картинку

    Пусть лучше поют. Или даже можно поставить балет-оперу, аллегорически подающую информацию WHOIS.

     
     
  • 2.16, Какаянахренразница (ok), 04:16, 22/10/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    На экзамене Препод Так ты знаешь ответ Я Да Сейчас э ну, как бы это ... весь текст скрыт [показать]
     
  • 1.5, Аноним (-), 00:26, 22/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Они доигрались, теперь только дело времени когда браузеры заблокируют.
     
     
  • 2.12, Z (??), 02:15, 22/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Сколько ты готов на это поставить?

    Еще ни один штатовский CA не заблокировали, это ж не китайский CA.

     
     
  • 3.17, Какаянахренразница (ok), 04:22, 22/10/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    Не мешай людям мечтать Я тоже, кстати, испытываю сладостную негу от одной мысли... весь текст скрыт [показать]
     
  • 3.18, Ergil (ok), 07:44, 22/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Слушай, а ты под кроватью американцев не видишь? А то у тебя и тут во всем виновата страна.
     
     
  • 4.19, A.Stahl (ok), 08:50, 22/10/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    >а ты под кроватью американцев не видишь?

    Так он оттуда их и ненавидит...

     
  • 4.26, Michael Shigorin (ok), 13:12, 22/10/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Если процитировать всё вместе, то становится видно, что человек привёл свои набл... весь текст скрыт [показать]
     
  • 1.9, KonstantinB (ok), 01:51, 22/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +10 +/
    Никогда такого не было, и вот опять!
     
  • 1.20, Аноним (-), 11:09, 22/10/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Хы, забавно, залез на сайт регистратора, указанного на сайте IANA для eu https... весь текст скрыт [показать]
     
     
  • 2.33, А (??), 15:07, 22/10/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Странно, что Comodo (немаленькая контора, если что) не смогли с whois этих TLD проговорить обмен инфой.
     
     
  • 3.39, Аноним (-), 01:27, 23/10/2016 [^] [ответить]    [к модератору]  
  • +/
    $ whois tonic.to
    Tonic whoisd V1.1
    tonic no_dns
     
  • 1.21, Аноним (-), 11:24, 22/10/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Всё это хорошая иллюстрация того, каким неудобным является латинский алфавит Пр... весь текст скрыт [показать]
     
     
  • 2.30, Crazy Alex (ok), 14:53, 22/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Нет, это хорошая иллюстрация того, что некоторые применяют неадекватные ситуации методы - в основном потому, что мхом поросли.

    0) когда писали на бумаге - наличие/отсутствие различий между 0 и O не имело значения.

    1) компьютеру пофиг - символы разные. А человек либо вводит руками то, что знает, либо копипастит. Либо применяет более осмысленные способы передачи информации, чем ввод текста - от файликов до QR-кодов.

    2) рукописное письмо "без отрыва" умерло. AFAIK ему уже и не учат на Западе - нужды абсолютно никакой.

    3) ну и ещё это хорошая иллюстрация наркомании тех, кто сломал сервис, который по определению должен быть машинно-читаемым.

     
     
  • 3.48, КО (?), 12:02, 24/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >ну и ещё это хорошая иллюстрация наркомании тех, кто сломал сервис, который по определению должен быть машинно-читаемым.

    Сервис по задумке авторов должен был быть машино-[b]не[/b]читаемым. Чтоб спам не забивал канал к админу.
    Другое дело, что парням из Комода понадобилось написать бота, читать текст с защитой от бота.
    И защита почти проиграла. :)

     
  • 3.51, scorry (ok), 12:46, 24/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > 2) рукописное письмо "без отрыва" умерло. AFAIK ему уже и не учат
    > на Западе - нужды абсолютно никакой.

    Ага, конечно. То-то в некоторых Штатах обратно курсив в младших школах вводят.

     
  • 2.38, angra (ok), 21:50, 22/10/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > В кириллице только один случай - 0 и О,

    Да что ты говоришь? А куда у тебя делись П и Л, 3 и З, К и Н, Ы и ЬI?

    > Всё это не русофильская пропаганда

    А что тогда? Разве что антипропаганда, типа посмотрите, какую чушь эти русофилы несут.


     
  • 2.43, Аноним (-), 20:00, 23/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Это проблемы шрифтов, а не алфавита См https ru wikipedia org wiki D0 92 D0 ... весь текст скрыт [показать]
     
  • 2.49, Аноним84701 (?), 12:02, 24/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки на чёрточки
    > и точки,

    Ну-ну. Вариаций (в т.ч. и "школьного" варианта написания) там ведь не бывает, да?
    http://i0.wp.com/lehrer-blog.raabe.de/wp-content/uploads/2013/06/Schreibschri
    https://s-media-cache-ak0.pinimg.com/564x/04/f3/62/04f362842815ecf1105832d760f

    А то ведь сразу можно взять что-то каллиграфическое
    https://s-media-cache-ak0.pinimg.com/564x/04/f3/62/04f362842815ecf1105832d760f
    В общем, слышал звон, но не понял, откуда он ...

     
  • 2.50, scorry (ok), 12:31, 24/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки на чёрточки
    > и точки, в кириллице такого много меньше и рукописное письмо быстрее.

    Вы рукописную латиницу где изучали, хочу поинтересоваться?

     
     
  • 3.52, Michael Shigorin (ok), 12:53, 24/10/2016 [^] [ответить]    [к модератору]  
  • +/
    >> Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки
    >> на чёрточки и точки, в кириллице такого много меньше и рукописное письмо быстрее.
    > Вы рукописную латиницу где изучали, хочу поинтересоваться?

    Кстати, если Вы вдруг в курсе: dot&cross _вторым_ проходом сейчас на практике встречается или только в поговорке осталось?

     
     
  • 4.54, scorry (ok), 13:48, 24/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >>> Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки
    >>> на чёрточки и точки, в кириллице такого много меньше и рукописное письмо быстрее.
    >> Вы рукописную латиницу где изучали, хочу поинтересоваться?
    > Кстати, если Вы вдруг в курсе: dot&cross _вторым_ проходом сейчас на практике
    > встречается или только в поговорке осталось?

    Ннннууууу, конечно. У тех, кто курсивом пишет, естественно.

    Правка: я к курсиву отношу непрерывное письмо. У тех, кто пишет по-английски, по большей части вторым проходом по слову так и делают. Некоторые (изредка) вырабатывают манеру письма, при которой только расставляют точки. Некоторые рвут слово. Всё как обычно, в пределах нормального распределения.

     
  • 1.24, A.Stahl (ok), 12:24, 22/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >в рукописном письме латиница характерна бесконечными отрывами руки

    Именно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишиши.

     
     
  • 2.40, Какаянахренразница (ok), 09:47, 23/10/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    --Где три тысячи тридцатый?
    --Товарищ командир, вооьще-то меня зовут Зозо...
     
  • 2.56, AlexYeCu_not_logged (?), 17:25, 24/10/2016 [^] [ответить]    [к модератору]  
  • +/
    >Именно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишиш

    RUS И 1
    LAT I 1
    LAT l 1

     
     
  • 3.57, AlexYeCu_not_logged (?), 17:27, 24/10/2016 [^] [ответить]    [к модератору]  
  • +/
    О, всё ещё веселее!
    LAT | I l


     
     
  • 4.61, Аноним (-), 13:08, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Это здорово, но справка, больничный, рецепт или медицинская карта на русском язы... весь текст скрыт [показать]
     
  • 3.58, scorry (ok), 17:32, 24/10/2016 [^] [ответить]    [к модератору]  
  • +/
    >>Именно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишиш
    > RUS И 1
    > LAT I 1
    > LAT l 1

    Это не рукописный, а печатный текст. Вы на самом деле не умеете читать или намеренно дурака валяете?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor