В блоге разработчиков проект Tor опубликован (https://blog.torproject.org/blog/diginotar-damage-disclosure) полный список параметров обманных SSL-сертификатов, сгенерированных злоумышленниками  в результате компрометации (http://www.opennet.me/opennews/art.shtml?num=31635) удостоверяющего центра DigiNotar. Список был получен благодаря содействию правительства Нидерланов, на территории которых работал удостоверяющий центр DigiNotar и которое инициировало проведение полного аудита данной организации.

В списке (https://blog.torproject.org/files/rogue-certs-2011-09-04.csv) присутствует 531 сертификат, в то время как изначально сообщалось о создании 247 обманного сертификата. 283 сертификата создано 10 июля, 128 - 18 июля и 125 - 20 июля. Т.е. фактически были предприняты три атаки.

Сертификаты были сгенерированы не только для крупных компаний, таких как Yahoo!, Google, Mozilla, Microsoft (включая сертификаты для службы Windows Update), Skype, VeriSign, Facebook и Twitter, но и для...

URL: https://blog.torproject.org/blog/diginotar-damage-disclosure
Новость: http://www.opennet.me/opennews/art.shtml?num=31678

• Опубликован полный список обманных SSL-сертификатов. В списк...,Zenitur, 19:58 , 05-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В списк...,Аноним, 22:39 , 05-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,alltiptop, 20:17 , 05-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В...,anonymous, 20:30 , 05-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В...,Аноним, 22:04 , 05-Сен-11
    • Опубликован полный список обманных SSL-сертификатов. В...,anonymous, 22:07 , 05-Сен-11
      • Опубликован полный список обманных SSL-сертификатов. В...,Аноним, 22:41 , 05-Сен-11
        • Опубликован полный список обманных SSL-сертификатов. В...,anonymous, 22:44 , 05-Сен-11
        • Опубликован полный список обманных SSL-сертификатов. В...,all_glory_to_the_hypnotoad, 00:22 , 06-Сен-11
          • Опубликован полный список обманных SSL-сертификатов. В...,AHAHAC, 03:51 , 06-Сен-11
            • Опубликован полный список обманных SSL-сертификатов. В...,Аноним, 05:41 , 06-Сен-11
            • Опубликован полный список обманных SSL-сертификатов. В...,all_glory_to_the_hypnotoad, 10:08 , 06-Сен-11
            • Опубликован полный список обманных SSL-сертификатов. В...,szh, 00:01 , 07-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,Нанобот, 20:31 , 05-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,ыыыыыыыыыы, 20:41 , 05-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В списк...,Клыкастый, 22:25 , 05-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,umbr, 21:03 , 05-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В списк...,Пр0х0жий, 04:27 , 07-Сен-11
    • Опубликован полный список обманных SSL-сертификатов. В списк...,umbr, 13:37 , 07-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,pinkpiton, 21:18 , 05-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,umbr, 22:12 , 05-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В списк...,Аноним, 22:31 , 05-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,Pilat, 01:16 , 06-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В списк...,Diden05, 02:56 , 06-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,Анонимаев, 03:42 , 06-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,Аноним, 04:22 , 06-Сен-11
• Вране,Pers, 04:57 , 06-Сен-11
  • Вране,anonymous, 09:32 , 06-Сен-11
    • Вране,zazik, 16:27 , 06-Сен-11
  • Вране,Sergey722, 09:36 , 06-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,Nxx, 09:23 , 06-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В списк...,Аноним, 09:51 , 06-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В списк...,Аноним, 10:52 , 06-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В списк...,szh, 00:04 , 07-Сен-11
    • Опубликован полный список обманных SSL-сертификатов. В списк...,Аноним, 11:36 , 07-Сен-11
      • Опубликован полный список обманных SSL-сертификатов. В списк...,anonymous, 17:51 , 07-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,mauser, 13:58 , 07-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В...,anonymous, 14:51 , 07-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В списк...,Pers, 07:40 , 08-Сен-11
    • Опубликован полный список обманных SSL-сертификатов. В списк...,Filosof, 19:27 , 08-Сен-11
• Опубликован полный список обманных SSL-сертификатов. В списк...,Filosof, 19:29 , 08-Сен-11
  • Опубликован полный список обманных SSL-сертификатов. В списк...,умная, 10:32 , 30-Ноя-11
    • Опубликован полный список обманных SSL-сертификатов. В списк...,Filosof, 16:41 , 03-Дек-11

Стопудово американским СМИ велят молчать о последнем.

Или наоборот орать во все рупоры, для организации бомбардировок "этих чертовых террористов".

ждём пополнения на wikileaks?

> При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации

ССЗБ.

>> При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации
> ССЗБ.

Скорее, это недоработка HTTPS/TLS механизма сертификата что один сертификат может быть выдан десятком центров сертификации сразу в меру их укуренности ;)

> Скорее, это недоработка HTTPS/TLS механизма сертификата что один сертификат может быть
> выдан десятком центров сертификации сразу в меру их укуренности ;)

этот механизм не «недоработан», а ущербен от начала до конца, вот и весь секрет.

> этот механизм не «недоработан», а ущербен от начала до конца, вот и весь секрет.

Ну так другой то никто не сделал. Вы же не выскакиваете на белом коне с готовым алгоритмом на замену?

> Вы же не выскакиваете на белом коне с готовым алгоритмом на замену?

более того: даже не собирался никогда. потому что внедрять это никто не станет, а я потрачу время на разработку. и оно мне надо? разве что за много вёдер денег.

Другой сделать можно легко. Но вся проблема в том, что никто его не будет использовать при повсеместно внедрённой текущей схеме. Просто таков интернет, выбирают не лучшие стандарты и методы, а хорошо распиаренные. Даже событие из новости навряд ли заставит что-либо существенно поменять. Гугл выпустил костыли вроде списка привязок и этому примеру последуют все, а потом вообще забьют на проблему.

> Другой сделать можно легко. Но вся проблема в том, что никто его
> не будет использовать при повсеместно внедрённой текущей схеме. Просто таков интернет,
> выбирают не лучшие стандарты и методы, а хорошо распиаренные. Даже событие
> из новости навряд ли заставит что-либо существенно поменять. Гугл выпустил костыли
> вроде списка привязок и этому примеру последуют все, а потом вообще
> забьют на проблему.

Ёптыть, я уже сто раз говорил - сертификат выдавать надо не организации,
а руководителю, и не по сети, а лично в руки, под паспорт, анализы ДНК,
сканы сетчатки глаза и отчепятков конечностей.

За утерю пожизненное лишение права владения сертификатам.

> а руководителю, и не по сети, а лично в руки, под паспорт,
> анализы ДНК, сканы сетчатки глаза и отчепятков конечностей.

А может проще сразу в концлагерь, чтоб не сбежал? И банальных зондов с цианидом повтыкать. Если сбежит с сертификатом - будет уничтожен сигналом со спутника.

> За утерю пожизненное лишение права владения сертификатам.

Расстрел сразу, чего уж мелочиться? :)

Правда вот при таких условиях мы пожалуй совсем без ауторитей останемся. Больно уж опасная получится работенка, дураков не найдется :)

Сейчас в общем так и делают, CA выдаёт его лично конкретному человеку. Но проблема немного в другом, в том, как CA становятся CA

> Ёптыть, я уже сто раз говорил

вред экономике ты оплатишь ? За всю жизнь не отработаешь.

>Особый интерес представляют сертификаты созданные для доменов с маской "*.*.com" и "*.*.org"

уже б не мелочились, сгенерировали бы для "*.*.*"...

Не, ну сертификаты *.*.com, *.*.org, *.*.any  можно хардкорно блокировать в браузере без всяких проверок подписей. Ясен пень кто-то умный балуется.

Да. причём если сертификат не самоподписаный лично у меня на автомате следует его изучение. Не, дело не в том что я тут же разгадаю подделку и осчастливлю мир (или просто обезопашу себя), но это ответ на ваш вопрос - да, кто-то на них смотрит.

На эти сертификаты кто-нибудь обращает внимание? Браузер не ругается – значит всё в порядке, или типа того.

Почему не ругается, ругается.
Спрашивает подтверждать сертификат или нет?
Ну а если на всё подряд тыкать yes, - ССЗБ.

Ругается, только если корневого сертификата нет в списке доверенных.

ждём пополнения
в списке присутствуют www.digicert.com и www.globalsign.com
может и ещё какие СА
эти просто кинулись в глаза при беглом просмотре

Может это кто-то готовит почву для массового перехода на IPv6?

Это-то при чём?!

Вот что непонятно. В фирме было пиратом выпущено больше сертификатов, чем сама фирма выпустила за всю свою историю. И этого никто не заметил? Не верю.

Никто ни чего не мониторил, админам пофигу, менагерам тоже, как то как, обычная халатность.

я давным давно уже говорил что эти сертификаты туфта полная!!!!

А почему сертификаты подписываются только одним CA, который, очевидно, может быть слабым звеном? Подписывали бы десяток - проблем бы не было.

>"Sare Toro Ham Mishkanam" - "я ненавижу ваше правительство".

Мой родной язык фарси, но последнее предложение переводится как
"Тебя тоже взломаю"
и делайте выводы почему специально так перевели.

> Мой родной язык фарси, но последнее предложение переводится как
> «Тебя тоже взломаю»
> и делайте выводы почему специально так перевели.

да потому что в комментариях к исходному посту какой-то анонимус так перевёл. а поскольку знающих фарси не так много, то ему поверили на слово. тебе вот тоже приходится верить.

в принципе, это потому, что всем сугубо монопенисуально, что именно там написано.

>> Мой родной язык фарси, но последнее предложение переводится как
>> «Тебя тоже взломаю»
>> и делайте выводы почему специально так перевели.
> да потому что в комментариях к исходному посту какой-то анонимус так перевёл.
> а поскольку знающих фарси не так много, то ему поверили на
> слово. тебе вот тоже приходится верить.
> в принципе, это потому, что всем сугубо монопенисуально, что именно там написано.

Требую перекрёстного перевода. Чтобы вариант совпадал не менее, чем у трёх анонимусов!

Да, вообще, всё это может быть провокацией ЦРУшников...

Зачем тогда вообще сертификаты нужны, если это все обман.

чтобы за них платили.

Это бизнес, детка. Одна из основополагающих хотелок пирамиды Маслоу эксплуатируется - безопасность.

> Зачем тогда вообще сертификаты нужны, если это все обман.

чтобы себестоимость обмана в была не 100$, а 1000000$. С каким вариантом ты предпочитаешь иметь дело ?

Сам-то понял, что сказал? Ни один нормальный вменяемый бизнес не будет ратовать за повышение себестоимости.

а при чём тут себестоимость? речь о прибыли.

>"Sare Toro Ham Mishkanam" - "я ненавижу ваше правительство".

Если перевесьти дословно то получится "Я взломаю/поломаю и твою голову". Фарси мой родной язык.

> Фарси мой родной язык.

о. третий. богат опеннет талантами. %-)

Дословно Гугл тоже переведет на любой язык, но какой результат будет все знают. В данном предложение слово "Sarе" дословно нельзя перевести т.к. смысл предложение потеряется.

а мне гугл не предложил язык фарси. Правда есть персидский, но такой транслит не схавал.

Это всё пиар-акция! просто Логитек заходит на Иранский рынок, и хочет прадавть клавы на фарси по всему миру! -:)
Вот язык и пиарят. А с сертификатами всё ок, никому они не нужны -:)

совсем ты дурачок что ли. или так приворяетшься искуссно.

[sarcasm]
       |
       |
       |

(c)Big Bang