forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлены обманные SSL-сертификаты, полученные в результате х..."
Отправлено opennews, 04-Янв-13 00:47

Компании Mozilla и Google одновременно (https://blog.mozilla.org/security/2013/01/03/revoking-trust-.../) объявили (http://googleonlinesecurity.blogspot.ru/2013/01/enhancing-di...) о прекращении доверия двум корневым сертификатам удостоверяющего центра TurkTrust и отзыве данных сертификатов из базы, поставляемой в составе браузеров Firefox и Chrome. Причиной удаления сертификатов, являются вскрывшиеся факты использования выписанных от лица сервиса TurkTrust SSL-сертификатов для совершения MITM-атак (man-in-the-middle), направленных на транзитный перехват и расшифровку SSL-трафика на промежуточном узле.

24 декабря компанией Google был выявлен обманный сертификат, выписанный для доменов *.google.com, который был задействован для совершения атаки на пользователей сервисов Google. Не исключено, что подобные обманные сертификаты могли быть использованы для атаки на другие компании и службы. Удостоверяющий центр TurkTrust, который присутствовал в цепочке доверия у обманного сертификата, провёл внутреннее расследование, которое показало, что в августе 2011 года по ошибке двум организациям вместо обычных SSL-сертификатов были выписаны вторичные корневые сертификаты, которые можно было использовать для генерации SSL-сертификатов для любого сайта в сети, при этом подобные обманные сертификаты будут восприняты клиентским ПО, как заслуживающие доверия.

В настоящее время рассматривается вопрос о применении санкций против удостоверяющего центра TurkTrust, допустившего столь непростительную халатность в своей работе, приведшей к нарушению цепочки доверия. Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации может привести к коллапсу всей системы.
Средства защиты от подобных манипуляций, например методы перекрёстной сертификации, только разрабатываются.
URL: https://blog.mozilla.org/security/2013/01/03/revoking-trust-.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=35754

Исходное сообщение
"Выявлены обманные SSL-сертификаты, полученные в результате х..." Отправлено opennews, 04-Янв-13 00:47
Компании Mozilla и Google одновременно (https://blog.mozilla.org/security/2013/01/03/revoking-trust-.../) объявили (http://googleonlinesecurity.blogspot.ru/2013/01/enhancing-di...) о прекращении доверия двум корневым сертификатам удостоверяющего центра TurkTrust и отзыве данных сертификатов из базы, поставляемой в составе браузеров Firefox и Chrome. Причиной удаления сертификатов, являются вскрывшиеся факты использования выписанных от лица сервиса TurkTrust SSL-сертификатов для совершения MITM-атак (man-in-the-middle), направленных на транзитный перехват и расшифровку SSL-трафика на промежуточном узле. 24 декабря компанией Google был выявлен обманный сертификат, выписанный для доменов *.google.com, который был задействован для совершения атаки на пользователей сервисов Google. Не исключено, что подобные обманные сертификаты могли быть использованы для атаки на другие компании и службы. Удостоверяющий центр TurkTrust, который присутствовал в цепочке доверия у обманного сертификата, провёл внутреннее расследование, которое показало, что в августе 2011 года по ошибке двум организациям вместо обычных SSL-сертификатов были выписаны вторичные корневые сертификаты, которые можно было использовать для генерации SSL-сертификатов для любого сайта в сети, при этом подобные обманные сертификаты будут восприняты клиентским ПО, как заслуживающие доверия. В настоящее время рассматривается вопрос о применении санкций против удостоверяющего центра TurkTrust, допустившего столь непростительную халатность в своей работе, приведшей к нарушению цепочки доверия. Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации может привести к коллапсу всей системы. Средства защиты от подобных манипуляций, например методы перекрёстной сертификации, только разрабатываются. URL: https://blog.mozilla.org/security/2013/01/03/revoking-trust-.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=35754

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компании Mozilla и Google одновременно (https://blog.mozilla.org/security/2013/01/03/revoking-trust-in-two-turktrust-certficates/) 
> объявили (http://googleonlinesecurity.blogspot.ru/2013/01/enhancing-digital-certificate-security.html) 
> о прекращении доверия двум корневым сертификатам удостоверяющего центра TurkTrust и отзыве 
> данных сертификатов из базы, поставляемой в составе браузеров Firefox и Chrome. 
> Причиной удаления сертификатов, являются вскрывшиеся факты использования выписанных 
> от лица сервиса TurkTrust SSL-сертификатов для совершения MITM-атак (man-in-the-middle), 
> направленных на транзитный перехват и расшифровку SSL-трафика на промежуточном узле.

> 24 декабря компанией Google был выявлен обманный сертификат, выписанный для доменов *.google.com, 
> который был задействован для совершения атаки на пользователей сервисов Google. Не 
> исключено, что подобные обманные сертификаты могли быть использованы для атаки на 
> другие компании и службы. Удостоверяющий центр TurkTrust, который присутствовал в цепочке 
> доверия у обманного сертификата, провёл внутреннее расследование, которое показало, что 
> в августе 2011 года по ошибке двум организациям вместо обычных SSL-сертификатов 
> были выписаны вторичные корневые сертификаты, которые можно было использовать для генерации 
> SSL-сертификатов для любого сайта в сети, при этом подобные обманные сертификаты 
> будут восприняты клиентским ПО, как заслуживающие доверия.

> В настоящее время рассматривается вопрос о применении санкций против удостоверяющего центра 
> TurkTrust, допустившего столь непростительную халатность в своей работе, приведшей к нарушению 
> цепочки доверия. Напомним, что компрометация любого из существующих удостоверяющих центров 
> может привести к возможности сгенерировать рабочий сертификат для любого сайта в 
> сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. 
> При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, 
> поэтому утечка корневого сертификата у одного из центров сертификации  может 
> привести к коллапсу всей системы.

> Средства защиты от подобных манипуляций, например методы перекрёстной сертификации, только 
> разрабатываются.

> URL: https://blog.mozilla.org/security/2013/01/03/revoking-trust-in-two-turktrust-certficates/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=35754

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру