The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor"  +/
Сообщение от opennews (??) on 01-Сен-11, 11:06 
История (http://www.opennet.me/opennews/art.shtml?num=31635) с генерацией обманного SSL-сертификата для сервисов Google получила продолжение (http://www.theregister.co.uk/2011/08/31/more_site_certificat.../). Несмотря на то, что список доменов, фигурирующих в отозванных сертификатах по прежнему держится в секрете, известно, что черный список в последнем выпуске Chrome увеличился на 247 записей. Представители проекта Mozilla сообщили, что с ними в частном порядке связались представители DigiNotar и сообщили о факте генерации обманного сертификата для домена addons.mozilla.org.

Также появились (http://www.nu.nl/internet/2603449/mogelijk-nepsoftware-versp...) официально неподтвержденные сведения о том, что обманные сертификаты DigiNotar также были сгенерированы для Yahoo.com, Tor.com и иранского блог-сервиса Baladin. Обманные сертификаты были созданы 10 июля, а отозваны несколько дней назад.

URL: http://www.theregister.co.uk/2011/08/31/more_site_certificat.../
Новость: http://www.opennet.me/opennews/art.shtml?num=31652

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +1 +/
Сообщение от Аноним (??) on 01-Сен-11, 11:06 
а где-нибудь написаны причины, по которым этот дигидонор выпустил левые серты?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Макс (??) on 01-Сен-11, 11:26 
см. вчерашние новости
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 01-Сен-11, 11:41 
ага, там дополнение появилось, спасибо.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Одмин on 01-Сен-11, 13:05 
там даты не сходятся. Как могли взломать 19-го июля если сертификат выдан 10-го? В общем, пока всё мутно
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от ЮзверЪ on 01-Сен-11, 13:27 
"Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля..." - а сколько они там на самом деле паслись, никто кроме взломщиков не знает.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от solardiz (ok) on 01-Сен-11, 15:34 
По данным F-Secure, не устраненные до этих дней следы взломов сайта DigiNotar начинаются как минимум с мая 2009:

http://www.f-secure.com/weblog/archives/00002228.html

Еще любопытно, что за всю свою историю они выпустили лишь небольшое количество сертификатов - как минимум 701 - вероятно, больше этого числа, но не сильно:

http://lists.randombit.net/pipermail/cryptography/2011-Augus...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

33. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 01-Сен-11, 20:11 
после взлома могли любую дату выставить при генерации. Это ж всего чиселко, и проверяется оно в софте.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

4. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 01-Сен-11, 11:41 
В соседней новости, они утверждают что их взломали: Появилась информация, что обманный сертификат был получен в результате взлома инфраструктуры удостоверяющего центра DigiNotar. Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля, в результате чего атакующим удалось сгенерировать поддельные сертификаты
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +7 +/
Сообщение от Аноним (??) on 01-Сен-11, 16:15 
Они еще и не хотят публиковать список расхаканого:
> список доменов, фигурирующих в отозванных сертификатах по прежнему держится в секрете

За такой подход они получают НЕпочетное звание UNtrusted authority. За такое надо пожизненный вынос корневого сертификата такой ауторити выписывать. Пусть идут рассаду выращивать, может лучше получаться будет.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +2 +/
Сообщение от Nicknnn (ok) on 01-Сен-11, 12:09 
dpkg-reconfigure ca-certificates
и снять галочку с DigiNotar

теперь при заходе на сайт сразу будет видно, если там подделка (для известных сайтов). Для других сайтов будет повод насторожиться.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Denisiuk (ok) on 01-Сен-11, 15:57 
Спасибо, так и сделал, был один мозилловский.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

29. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +1 +/
Сообщение от edo (ok) on 01-Сен-11, 18:45 
а firefox (iceweasel) разве не свои списки доверенных CA держит?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

31. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Nicknnn (ok) on 01-Сен-11, 19:43 
Да похоже вы правы. Он таскает с собою собственный набор. Занчит нужно удалить там его вручную.
Отмена доверия через dpkg действует только на приложения, которые используют системные настройки. А таких большинство.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

41. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от zazik (ok) on 05-Сен-11, 13:13 
> Да похоже вы правы. Он таскает с собою собственный набор. Занчит нужно
> удалить там его вручную.
> Отмена доверия через dpkg действует только на приложения, которые используют системные
> настройки. А таких большинство.

У меня не удаляется, почему-то. Точнее, удаляется, но потом снова появляется. ФФ, винда.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

6. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +2 +/
Сообщение от bircoph (ok) on 01-Сен-11, 12:17 
Удалил их CA из своих систем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Denisiuk (ok) on 01-Сен-11, 16:04 
У них на сайте есть изображение, которое прекрасно иллюстрирует их работу http://www.diginotar.com/Portals/0/Skins/DigiNotar_V7_COM/im...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

19. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 01-Сен-11, 16:18 
> У них на сайте есть изображение, которое прекрасно иллюстрирует их работу

Блондинки рулят CA? Куда катится этот мир? oO

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Denisiuk (ok) on 01-Сен-11, 17:19 
> Блондинки рулят CA? Куда катится этот мир? oO

гг, я про человека посередине(сзади) ;)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

7. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  –4 +/
Сообщение от фьщьшт on 01-Сен-11, 12:39 
Какие нафиг сертификаты? Уже в куки страшно заглядывать, откуда там все это есть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 01-Сен-11, 16:19 
> Какие нафиг сертификаты? Уже в куки страшно заглядывать, откуда там все это есть.

С серверов на которые вы заходили //Капитан

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +4 +/
Сообщение от Аноним (??) on 01-Сен-11, 13:56 
Брюс Шнайер предупреждал, что эта хрень с деревьями доверия - полная шняга. Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован. Кушайте с булочкой, ваш X509v3.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +2 +/
Сообщение от bircoph (ok) on 01-Сен-11, 15:01 
> Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован.

Системы доверия, основанной на данном CA.

> Кушайте с булочкой, ваш X509v3.

Проблема в том, что других альтернатив нет. Какую бы систему идентификации хоста вы не строили, всегда нужна будет либо передача некоторой информации по абсолютно доверяемому каналу (например, ключа), либо доверие к 3-й стороне (или сторонам), подтверждающим, что хост — это тот, за кого себя выдаёт.

Пожалуй, единственное улучшение (и усложнение), которое можно сделать — это требовать сертификациями сразу несколькими доверяемыми CA (минимум трое) и блокировка при наличии проблем с хотя бы одной подписью.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +1 +/
Сообщение от brother anon on 01-Сен-11, 15:16 
> Системы доверия, основанной на данном CA.

Проблема в том, что система в равной степени доверяет всем CA, если сломать хотя бы один то безопасность под угрозой.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от bircoph (ok) on 01-Сен-11, 15:57 
Ваши предложения в студию.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 01-Сен-11, 16:22 
> Ваши предложения в студию.

Выделить особо доверяемых которые вскоре оборзеют от привилегированного положения и превратятся в диктаторов-уродов наподобии верисайна, только еще в пять раз хуже.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

25. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от bircoph (ok) on 01-Сен-11, 17:42 
Взламают особо доверяемых. Дальше что?
Не существует невзламываемых систем — ломается всё, вопрос в том, за какие деньги.

Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё. А вот если будет много центров сертификации (скажем так, тысячи) и будет требование множественной подписи разными CA, при котором проблемы хоть с одной делают сертификат не действительным — это будет надёжнее. Можно ещё веса присваивать разным CA, но это уже более тонкий вопрос.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

27. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 01-Сен-11, 17:57 
> Взламают особо доверяемых. Дальше что?
> Не существует невзламываемых систем — ломается всё, вопрос в том, за какие
> деньги.
> Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё.
> А вот если будет много центров сертификации (скажем так, тысячи) и
> будет требование множественной подписи разными CA, при котором проблемы хоть с
> одной делают сертификат не действительным — это будет надёжнее. Можно ещё
> веса присваивать разным CA, но это уже более тонкий вопрос.

Это все уже было. Как раз так система сейчас и действует (ну только без весов). И что - те же яйца предлагаешь сделать, только вид сбоку?

Видишь ли, дорогой друг, доверие, как и свежесть, не бывает разных весовых степеней. Оно либо есть - либо нет. Компрене?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

32. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от bircoph (ok) on 01-Сен-11, 20:00 
> Это все уже было. Как раз так система сейчас и действует (ну только без весов). И что - те же яйца предлагаешь сделать, только вид сбоку?

Почитай-ка мой пост ещё раз, аноним. Ты сейчас говоришь об унитарной системе доверия, где доверие конкретного сертификата основывается на одном единственном CA. Я же говорю о мажоритарной системе, в которой для отмены доверия достаточного одного голоса против.

> Видишь ли, дорогой друг, доверие, как и свежесть, не бывает разных весовых степеней.

Почитай-ка про Web of Trust что ли, ещё как бывают и применяются.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

38. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 02-Сен-11, 19:44 
> Взламают особо доверяемых. Дальше что?

Я так и знал что необходим тег <sarcasm>. К сожалению, он отсутствует в стандарте HTML5 :(

> Не существует невзламываемых систем — ломается всё, вопрос в том, за какие деньги.

Конечно! Универсальный способ: покупаем компанию - и все, мы их взломали!

> Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё.
> А вот если будет много центров сертификации (скажем так, тысячи) и
> будет требование множественной подписи разными CA, при котором проблемы хоть с
> одной делают сертификат не действительным — это будет надёжнее. Можно ещё
> веса присваивать разным CA, но это уже более тонкий вопрос.

Ну вот это выглядит более реалистично. Правда, опять же, риск что сломают несколько из - не отменяет, но вероятность что этого хватит для успешной подделки сертификата и правда понижает.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 01-Сен-11, 17:59 
>> Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован.
> Системы доверия, основанной на данном CA.
>> Кушайте с булочкой, ваш X509v3.
> Проблема в том, что других альтернатив нет. Какую бы систему идентификации хоста
> вы не строили, всегда нужна будет либо передача некоторой информации по
> абсолютно доверяемому каналу (например, ключа), либо доверие к 3-й стороне (или
> сторонам), подтверждающим, что хост — это тот, за кого себя выдаёт.
> Пожалуй, единственное улучшение (и усложнение), которое можно сделать — это требовать
> сертификациями сразу несколькими доверяемыми CA (минимум трое) и блокировка при наличии
> проблем с хотя бы одной подписью.

Алгоритм присяжных? Это и в жизни-то не работает. В реальном суде присяжных. Особое мнение одного присяжного мешало хоть кого-то посадить?

А тут начнутся - я зуб даю! - усложнения в виде мажоритарного алгоритма, весовых коэффициентов степеней доверия и тому подобное. Что приведет только к эскалации проблемы.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +1 +/
Сообщение от Zenitur (ok) on 01-Сен-11, 17:24 
tor.com? Вроде правильно tor.org!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Ононим on 02-Сен-11, 05:45 
Зашел сейчас на gosuslugi.ru, а там сертификат истек. Вот думаю можно ли доверять после этого этому сайту. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 02-Сен-11, 19:39 
> Зашел сейчас на gosuslugi.ru, а там сертификат истек. Вот думаю можно ли
> доверять после этого этому сайту. :)

Отечественным чиновничьим сайтам вообще доверять не стоит. Особенно - персональные данные. Так как это фуфло зачастую наполовину писалось методом откатов и распилов, по знакомству/блату. Ну так, глядя на количество фэйлов на страницу сайта. А то опять будете потом бухтеть - ой, а чойта в ларьке продается диск с БД "все пользователи сайта госуслуги - 2011"?!

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

35. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 02-Сен-11, 09:10 
Чую в этом руку NSA...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 03-Сен-11, 08:45 
долить что ли бензина в огонек ?:)

https://www.diginotar.nl/Portals/0/Extrance.txt

Отвечает самый что не наесть Windows Server с IIS....

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Anonym on 05-Сен-11, 00:53 
> долить что ли бензина в огонек ?:)
> https://www.diginotar.nl/Portals/0/Extrance.txt
> Отвечает самый что не наесть Windows Server с IIS....

Сертификат безопасности сайта не является доверенным!

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."  +/
Сообщение от Аноним (??) on 05-Сен-11, 22:27 
ну собственно и за что люди им деньги платят ? надо наплодить как хостингов, за рубль на 50 лет сертификатами банчить и будет все ок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру