История (http://www.opennet.me/opennews/art.shtml?num=31635) с генерацией обманного SSL-сертификата для сервисов Google получила продолжение (http://www.theregister.co.uk/2011/08/31/more_site_certificat.../). Несмотря на то, что список доменов, фигурирующих в отозванных сертификатах по прежнему держится в секрете, известно, что черный список в последнем выпуске Chrome увеличился на 247 записей. Представители проекта Mozilla сообщили, что с ними в частном порядке связались представители DigiNotar и сообщили о факте генерации обманного сертификата для домена addons.mozilla.org.Также появились (http://www.nu.nl/internet/2603449/mogelijk-nepsoftware-versp...) официально неподтвержденные сведения о том, что обманные сертификаты DigiNotar также были сгенерированы для Yahoo.com, Tor.com и иранского блог-сервиса Baladin. Обманные сертификаты были созданы 10 июля, а отозваны несколько дней назад.
URL: http://www.theregister.co.uk/2011/08/31/more_site_certificat.../
Новость: http://www.opennet.me/opennews/art.shtml?num=31652
а где-нибудь написаны причины, по которым этот дигидонор выпустил левые серты?
см. вчерашние новости
ага, там дополнение появилось, спасибо.
там даты не сходятся. Как могли взломать 19-го июля если сертификат выдан 10-го? В общем, пока всё мутно
"Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля..." - а сколько они там на самом деле паслись, никто кроме взломщиков не знает.
По данным F-Secure, не устраненные до этих дней следы взломов сайта DigiNotar начинаются как минимум с мая 2009:http://www.f-secure.com/weblog/archives/00002228.html
Еще любопытно, что за всю свою историю они выпустили лишь небольшое количество сертификатов - как минимум 701 - вероятно, больше этого числа, но не сильно:
http://lists.randombit.net/pipermail/cryptography/2011-Augus...
после взлома могли любую дату выставить при генерации. Это ж всего чиселко, и проверяется оно в софте.
В соседней новости, они утверждают что их взломали: Появилась информация, что обманный сертификат был получен в результате взлома инфраструктуры удостоверяющего центра DigiNotar. Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля, в результате чего атакующим удалось сгенерировать поддельные сертификаты
Они еще и не хотят публиковать список расхаканого:
> список доменов, фигурирующих в отозванных сертификатах по прежнему держится в секретеЗа такой подход они получают НЕпочетное звание UNtrusted authority. За такое надо пожизненный вынос корневого сертификата такой ауторити выписывать. Пусть идут рассаду выращивать, может лучше получаться будет.
dpkg-reconfigure ca-certificates
и снять галочку с DigiNotarтеперь при заходе на сайт сразу будет видно, если там подделка (для известных сайтов). Для других сайтов будет повод насторожиться.
Спасибо, так и сделал, был один мозилловский.
а firefox (iceweasel) разве не свои списки доверенных CA держит?
Да похоже вы правы. Он таскает с собою собственный набор. Занчит нужно удалить там его вручную.
Отмена доверия через dpkg действует только на приложения, которые используют системные настройки. А таких большинство.
> Да похоже вы правы. Он таскает с собою собственный набор. Занчит нужно
> удалить там его вручную.
> Отмена доверия через dpkg действует только на приложения, которые используют системные
> настройки. А таких большинство.У меня не удаляется, почему-то. Точнее, удаляется, но потом снова появляется. ФФ, винда.
Удалил их CA из своих систем.
У них на сайте есть изображение, которое прекрасно иллюстрирует их работу http://www.diginotar.com/Portals/0/Skins/DigiNotar_V7_COM/im...
> У них на сайте есть изображение, которое прекрасно иллюстрирует их работуБлондинки рулят CA? Куда катится этот мир? oO
> Блондинки рулят CA? Куда катится этот мир? oOгг, я про человека посередине(сзади) ;)
Какие нафиг сертификаты? Уже в куки страшно заглядывать, откуда там все это есть.
> Какие нафиг сертификаты? Уже в куки страшно заглядывать, откуда там все это есть.С серверов на которые вы заходили //Капитан
Брюс Шнайер предупреждал, что эта хрень с деревьями доверия - полная шняга. Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован. Кушайте с булочкой, ваш X509v3.
> Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован.Системы доверия, основанной на данном CA.
> Кушайте с булочкой, ваш X509v3.
Проблема в том, что других альтернатив нет. Какую бы систему идентификации хоста вы не строили, всегда нужна будет либо передача некоторой информации по абсолютно доверяемому каналу (например, ключа), либо доверие к 3-й стороне (или сторонам), подтверждающим, что хост — это тот, за кого себя выдаёт.
Пожалуй, единственное улучшение (и усложнение), которое можно сделать — это требовать сертификациями сразу несколькими доверяемыми CA (минимум трое) и блокировка при наличии проблем с хотя бы одной подписью.
> Системы доверия, основанной на данном CA.Проблема в том, что система в равной степени доверяет всем CA, если сломать хотя бы один то безопасность под угрозой.
Ваши предложения в студию.
> Ваши предложения в студию.Выделить особо доверяемых которые вскоре оборзеют от привилегированного положения и превратятся в диктаторов-уродов наподобии верисайна, только еще в пять раз хуже.
Взламают особо доверяемых. Дальше что?
Не существует невзламываемых систем — ломается всё, вопрос в том, за какие деньги.Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё. А вот если будет много центров сертификации (скажем так, тысячи) и будет требование множественной подписи разными CA, при котором проблемы хоть с одной делают сертификат не действительным — это будет надёжнее. Можно ещё веса присваивать разным CA, но это уже более тонкий вопрос.
> Взламают особо доверяемых. Дальше что?
> Не существует невзламываемых систем — ломается всё, вопрос в том, за какие
> деньги.
> Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё.
> А вот если будет много центров сертификации (скажем так, тысячи) и
> будет требование множественной подписи разными CA, при котором проблемы хоть с
> одной делают сертификат не действительным — это будет надёжнее. Можно ещё
> веса присваивать разным CA, но это уже более тонкий вопрос.Это все уже было. Как раз так система сейчас и действует (ну только без весов). И что - те же яйца предлагаешь сделать, только вид сбоку?
Видишь ли, дорогой друг, доверие, как и свежесть, не бывает разных весовых степеней. Оно либо есть - либо нет. Компрене?
> Это все уже было. Как раз так система сейчас и действует (ну только без весов). И что - те же яйца предлагаешь сделать, только вид сбоку?Почитай-ка мой пост ещё раз, аноним. Ты сейчас говоришь об унитарной системе доверия, где доверие конкретного сертификата основывается на одном единственном CA. Я же говорю о мажоритарной системе, в которой для отмены доверия достаточного одного голоса против.
> Видишь ли, дорогой друг, доверие, как и свежесть, не бывает разных весовых степеней.
Почитай-ка про Web of Trust что ли, ещё как бывают и применяются.
> Взламают особо доверяемых. Дальше что?Я так и знал что необходим тег <sarcasm>. К сожалению, он отсутствует в стандарте HTML5 :(
> Не существует невзламываемых систем — ломается всё, вопрос в том, за какие деньги.
Конечно! Универсальный способ: покупаем компанию - и все, мы их взломали!
> Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё.
> А вот если будет много центров сертификации (скажем так, тысячи) и
> будет требование множественной подписи разными CA, при котором проблемы хоть с
> одной делают сертификат не действительным — это будет надёжнее. Можно ещё
> веса присваивать разным CA, но это уже более тонкий вопрос.Ну вот это выглядит более реалистично. Правда, опять же, риск что сломают несколько из - не отменяет, но вероятность что этого хватит для успешной подделки сертификата и правда понижает.
>> Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован.
> Системы доверия, основанной на данном CA.
>> Кушайте с булочкой, ваш X509v3.
> Проблема в том, что других альтернатив нет. Какую бы систему идентификации хоста
> вы не строили, всегда нужна будет либо передача некоторой информации по
> абсолютно доверяемому каналу (например, ключа), либо доверие к 3-й стороне (или
> сторонам), подтверждающим, что хост — это тот, за кого себя выдаёт.
> Пожалуй, единственное улучшение (и усложнение), которое можно сделать — это требовать
> сертификациями сразу несколькими доверяемыми CA (минимум трое) и блокировка при наличии
> проблем с хотя бы одной подписью.Алгоритм присяжных? Это и в жизни-то не работает. В реальном суде присяжных. Особое мнение одного присяжного мешало хоть кого-то посадить?
А тут начнутся - я зуб даю! - усложнения в виде мажоритарного алгоритма, весовых коэффициентов степеней доверия и тому подобное. Что приведет только к эскалации проблемы.
tor.com? Вроде правильно tor.org!
Зашел сейчас на gosuslugi.ru, а там сертификат истек. Вот думаю можно ли доверять после этого этому сайту. :)
> Зашел сейчас на gosuslugi.ru, а там сертификат истек. Вот думаю можно ли
> доверять после этого этому сайту. :)Отечественным чиновничьим сайтам вообще доверять не стоит. Особенно - персональные данные. Так как это фуфло зачастую наполовину писалось методом откатов и распилов, по знакомству/блату. Ну так, глядя на количество фэйлов на страницу сайта. А то опять будете потом бухтеть - ой, а чойта в ларьке продается диск с БД "все пользователи сайта госуслуги - 2011"?!
Чую в этом руку NSA...
долить что ли бензина в огонек ?:)https://www.diginotar.nl/Portals/0/Extrance.txt
Отвечает самый что не наесть Windows Server с IIS....
> долить что ли бензина в огонек ?:)
> https://www.diginotar.nl/Portals/0/Extrance.txt
> Отвечает самый что не наесть Windows Server с IIS....Сертификат безопасности сайта не является доверенным!
ну собственно и за что люди им деньги платят ? надо наплодить как хостингов, за рубль на 50 лет сертификатами банчить и будет все ок.