В составе web-браузера Firefox обнаружен (http://groups.google.com/group/mozilla.dev.security.policy/m... корневой сертификат неизвестного удостоверяющего центра (CA (http://ru.wikipedia.org/wiki/%D0%A6%D0%B... владельца которого не удалось выявить. Организации RSA и VeriSign подтвердили, что не имеют к этому сертификату никакого отношения и его происхождение им неизвестно. В настоящий момент рассматривается (https://bugzilla.mozilla.org/show_bug.cgi?id=549701) вопрос об удалении этого сертификата из NSS (http://en.wikipedia.org/wiki/Network_Security_Services).URL: http://lwn.net/Articles/382216/rss
Новость: http://www.opennet.me/opennews/art.shtml?num=26120
svn фаерфрс не ведет? и посмотреть кто и когда и зачем добавил его в репозиторий нельзя? гыгыг
Может их поломали и сертификат подсунули? :)
Да, без вас разработчики Firefox, конечно, не догадались бы историю изменений посмотреть, если бы вопрос был в этом.
В составе web-браузера Firefox обнаружен корневой сертификат неизвестного удостоверяющего центра (CA), владельца которого не удалось выявить.
Удостоверяющий центр известен. Его ТЕКУЩИЙ владелец не известен.
Прошел по ссылке.
>Для разработчиков Mozilla подобное событие можно рассматривать как хороший урок, показывающий, что при принятии сертификатов нужно уделять особое внимание.Соответственно, это утверждение весьма спорно.
Там же CA стоит RSA, но RSA сказал, что это не его. На то он и корневой сертификат, что никем не удостоверен и является отправной точкой.
никогда нельзя доверять опенсурсу
Дискуссию в рассылке читали? Сертификатов обнаружено два, причём один из них есть и в Windows, и в MacOS.
Таки батенька, Опенсорц не есть Open OS
>никогда нельзя доверять опенсурсулюбой криптограф знает что нельзя доверять черным ящикам(проприетари в том числе).
тогда trust nooneзато опенсурс можно проверить ;)
Сначала соберите на своем компьютере ядро хотя бы...
>Сначала соберите на своем компьютере ядро хотя бы...собрал. что дальше, кэп?
таки новость надо читать так:
фф обнаружила подтвержденные самыми крутыми центрами сертификаты, которые принадлежат "никому"?
хм. круто.
> фф обнаружила подтвержденные самыми крутыми центрами сертификаты, которые принадлежат "никому"?Не так, фф обнаружила _центр сертификации_, причём два, который принадлежит неизвестно кому.
Кто-то из фишеров разорится :)
Интересно, много они успели украсть?
По ссылкам уже и тут никто не ходит, развели шум на пустом месте.
Воще-то, в первой ссылке (под словом "обнаружены") речь идёт только об одном сертификате - RSA Security 1024 V3 c фингерпринтом 3C:BB:5D:E0:FC:D6:39:7C:05:88:E5:66:97:BD:46:2A:BD:F9:5C:76, а в последней (под словом "рассматривается") - речь идёт о том, что все, кроме этого, валидны, а насчёт этого RSA сначала сказала "Нет у нас такого", а потом поправилась "Когда-то сгенерили, потом забили и не юзаем, можете сносить".
Я у себя один (RSA 1024 V3) экспортировал в файл и выкосил.
Что такое "RSA Security 1024 V3"? У вас есть какое-нть friendly name или хотя бы Issued By? Трудно найти сертификат по вашему отпечатку. (у меня Виндовоз-7)
В виндовых сертификатах я его у себя тоже не нашёл (XP), а в файрфоксе - есть (инструменты - настройки - дополнительно - шифрование - просмотр сертификатов - центры сертификации), они там по алфавиту, RSA Security идёт сразу после RSA Data Security :))
Мозилловцы - заговорщики? Добавили сертификаты Эппла и Майкрософта втихаря и никому не сказав, чтобы пользователи заходили на их https-сайты и не догадывались об этом? Или чтобы туда втихаря информация отсылалась? Я оптимист, но понял новость так.
чтобы что-то понять надо по ссылкам читать.
Читал, и комментарии других "разъяснителей" читал. Вывод - выше, но поправка: полизователи не догадываются, что странички, которые они видят - https, так как большого окошка о принятии Майкрософтского/Эппловского сертификата не было, а маленькое слово https маленькое.
Вообще-то в любом современном браузере, когда вы идете на сайт https, даже при наличии известных сертификатах в локальном репозитории, он, браузер, уведомляет об том, хотя бы изменением вида адресной строки, что вполне заметно.
Большой брат должен следить за всеми. Иза богатыми и за бедными.
так это ж ZOG, всё в порядке
We know where the root came from, it was added at RSA’s request several years ago and vetted according to our inclusion guidelines. When we contacted RSA to confirm current contact and audit information for it, though, we didn’t get a clear answer as to whether or not it was in use, covered by recent audits, or decommissioned. We expect every root in our program to have a clear and active owner and, failing to get that clarity from RSA, we moved to pull this root from the product.
http://blog.mozilla.com/security/2010/04/06/removing-the-rsa.../