The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выявлены обманные SSL-сертификаты, полученные в результате х..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлены обманные SSL-сертификаты, полученные в результате х..."  +/
Сообщение от opennews (ok) on 04-Янв-13, 00:47 
Компании Mozilla и Google одновременно (https://blog.mozilla.org/security/2013/01/03/revoking-trust-.../) объявили (http://googleonlinesecurity.blogspot.ru/2013/01/enhancing-di...) о прекращении доверия двум корневым сертификатам удостоверяющего центра TurkTrust и отзыве данных сертификатов из базы, поставляемой в составе браузеров Firefox и Chrome. Причиной удаления сертификатов, являются вскрывшиеся факты использования выписанных от лица сервиса TurkTrust SSL-сертификатов для совершения MITM-атак (man-in-the-middle), направленных на транзитный перехват и расшифровку SSL-трафика на промежуточном узле.


24 декабря компанией Google был выявлен обманный сертификат, выписанный для доменов *.google.com, который был задействован для совершения атаки на пользователей сервисов Google. Не исключено, что подобные обманные сертификаты могли быть использованы для атаки на другие компании и службы. Удостоверяющий центр TurkTrust, который присутствовал в цепочке доверия у обманного сертификата, провёл внутреннее расследование, которое показало, что в августе 2011 года по ошибке двум организациям вместо обычных SSL-сертификатов были выписаны вторичные корневые сертификаты, которые можно было использовать для генерации SSL-сертификатов для любого сайта в сети, при этом подобные обманные сертификаты будут восприняты клиентским ПО, как заслуживающие доверия.


В настоящее время рассматривается вопрос о применении санкций против удостоверяющего центра TurkTrust, допустившего столь непростительную халатность в своей работе, приведшей к нарушению цепочки доверия. Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации  может привести к коллапсу всей системы.

Средства защиты от подобных манипуляций, например методы перекрёстной сертификации, только разрабатываются.

URL: https://blog.mozilla.org/security/2013/01/03/revoking-trust-.../
Новость: http://www.opennet.me/opennews/art.shtml?num=35754

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлены обманные SSL-сертификаты, полученные в результате х..."  –4 +/
Сообщение от pavlinux (ok) on 04-Янв-13, 00:47 
Поднимите руку, кто доверяет TurkTrust, а так же Machachkala Security Center, корневым центрам Тегерана и Кабула? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выявлены обманные SSL-сертификаты, полученные в результате х..."  +15 +/
Сообщение от anonymous (??) on 04-Янв-13, 01:26 
Клоуны в треде, скорее в машину.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Выявлены обманные SSL-сертификаты, полученные в результате х..."  +/
Сообщение от Stream on 04-Янв-13, 01:58 
Турецкие провайдеры снифят трафик юзеров ?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "Выявлены обманные SSL-сертификаты, полученные в результате х..."  –1 +/
Сообщение от ъ on 04-Янв-13, 10:15 
Я в турецком отеле хотел парнушку посмотреть по местному ви-фи. Обломись. Не дало. Написало, что контент нехороший.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "Выявлены обманные SSL-сертификаты, полученные в результате х..."  +6 +/
Сообщение от Аноним (??) on 04-Янв-13, 15:14 
Вы хотели сказать "не дала". :)
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

17. "Выявлены обманные SSL-сертификаты, полученные в результате х..."  +/
Сообщение от Аноним (??) on 04-Янв-13, 05:19 
Вы таки доверяете другим удостоверяющим центрам?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

59. "Выявлены обманные SSL-сертификаты, полученные в результате х..."  +1 +/
Сообщение от robux (ok) on 05-Янв-13, 00:03 
> Поднимите руку, кто доверяет TurkTrust

Ты доверяюешь Гуглю. Гугль доверяет туркишу. Туркиш доверяет хулиганам.
Итак: ты довряешь хулиганам.

Как это работает:
1) ты лезешь на сайт https://money.google.com
2) хулиган посередине подсовывает самопальный ключ туркиша
3) твой браузер спокоен, ибо цепочка доверия работает
4) твои явки и пароли уходят хулигану
5) ?????
6) PROFIT!!11

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

67. "Выявлены обманные SSL-сертификаты, полученные в результате х..."  +2 +/
Сообщение от Andrew Kolchoogin on 05-Янв-13, 10:48 
Во-первых, работает это не совсем так: твой браузер доверяет Туркишу. Туркиш доверяет хулиганам. Хулиганы генерируют собственный сертификат для *.google.com и подсовывают его в сессию. Итак: твой браузер доверяет "поддельному Гуглю", то есть, хулиганам.

Во-вторых, у сертификата можно поменять степень доверия. Например, пометить в своей личной базе корневых сертификатов любой корневой сертификат как недоверенный. Или вообще его грохнуть.

Тогда это будет работать так:

1) ты лезешь на сайт https://money.google.com
2) хулиган посередине подсовывает самопальный ключ *.google.com, подписанный сертификатом, степень доверия которому ты отредактировал.
3) браузер начинает жутко орать, дескать царь ненастоящ^W^Wсертификат невалидный, так как подписан недоверенным/неизвестным CA (в зависимости от того, что именно было сделано из перечисленного выше).
4) ты начинаешь подозревать, что тебя пытаются нае^Wобмануть.
5) ??????
6) PROFIT!!11 -- но не у хулиганов. У тебя. :)

Как-то так.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

81. "Выявлены обманные SSL-сертификаты, полученные в результате х..."  +/
Сообщение от ЬТЛ on 09-Янв-13, 12:04 
Это в идеале, в жизни в борьбе лень vs паранойа побеждает лень... (в большинстве случаев)
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

2. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –1 +/
Сообщение от Anonim (??) on 04-Янв-13, 00:57 
Как они собираются обновить базу ключей в моем браузере? Просто интересен механизм.
Или надо обновления фокса ждать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от Аноним (??) on 04-Янв-13, 01:07 
Обычно оформляется как новая версия браузера и там этот серт добавлен в недоверяемые.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Аноним (??) on 04-Янв-13, 03:02 
не далее как пару-тройку версий назад база ключей приходит молча, был же анонс
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Аноним (??) on 04-Янв-13, 03:19 
Молча для юзера, но не для митм у которого пользовательский ключ изначально в наличии) Вот вам и весь SSL
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

46. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Xasd (ok) on 04-Янв-13, 19:34 
> Вот вам и весь SSL

когда ты самолично (или например твой друг/знакомый) сможешь достать/сгенерировать сертификат который будет компрометировать SSL -- вот после этого и рассказывай о том какой SSL якобы совершенно не надёжный :D ..

да, никто не спорит: все понимают что SSL (с его цепочкой доверия) не является совершенно идеальным.
но даже в такой вот реализации -- SSL это очень хорошая защита от MitM.

любой даже самый квалифицированный мега-хакер -- не сможет сделать MitM над SSL, до тех пор пока не сможет раздобыть компрометирующий сертификат.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

54. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Аноним (??) on 04-Янв-13, 22:19 
> но даже в такой вот реализации -- SSL это очень хорошая защита от MitM.

Только если вы выпилите все ауторити и оставите только свою. Иначе любой козел может подписать что вон тот сервак - типа, ваш.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

61. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Аноним (??) on 05-Янв-13, 01:44 
> любой даже самый квалифицированный мега-хакер -- не сможет сделать MitM над SSL, до тех пор пока не сможет раздобыть компрометирующий сертификат.

Ну и сколько вам еще нужно новостей о выявлении таких сертификатов? И это мы в сторонке стоим, а если реально квалифицированный взломщик, который в теме, да для него это вообще не проблема. Мальчики в этих конторках что сертификаты выдают зп 15 руб имеют, не договорятся так подломят рабочее место, и т.д. и т.п. варианты, было бы достаточно времени, и оно есть.

> SSL это очень хорошая защита от MitM

Это защита от дурака со снифером, но не от профессионала

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

63. "Выявлены обманные SSL-сертификаты, полученные из-за..."  +1 +/
Сообщение от arisu (ok) on 05-Янв-13, 01:56 
> Ну и сколько вам еще нужно новостей о выявлении таких сертификатов?

сколько угодно: тушканчики всё равно уверены в том, что неоднократно скомпрометированая система безопасности по-прежнему безопасна.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

62. "Выявлены обманные SSL-сертификаты, полученные из-за..."  +/
Сообщение от arisu (ok) on 05-Янв-13, 01:54 
> когда ты самолично (или например твой друг/знакомый) сможешь достать/сгенерировать сертификат
> который будет компрометировать SSL -- вот после этого и рассказывай о
> том какой SSL якобы совершенно не надёжный :D ..

я тебе уже много раз говорил, попробуй хоть в этот раз понять: однажды скомпрометированая система безопасности больше никогда не будет являться надёжной. ssl скомпрометирован намного больше, чем один раз.

> SSL это очень хорошая защита от MitM

trustwave с тобой согласны.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

4. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –1 +/
Сообщение от wesnoth on 04-Янв-13, 01:07 
Mozilla is actively revoking trust for the two mis-issued certificates which will be released to all supported versions of Firefox in the next update on Tuesday 8th January.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от user (??) on 04-Янв-13, 01:08 
В Firefox база сертификатов находится в библиотеке NSS. Разумеется она будет изменена с обновлением Firefox.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от анончик on 04-Янв-13, 01:12 
тихо она даже отдельно обновляется.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от user (??) on 04-Янв-13, 01:26 
Да. Там, где собрана отдельно, но на некоторых платформах её носят с собой :)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –1 +/
Сообщение от iZEN (ok) on 04-Янв-13, 01:14 
% pkg_info nss-3.14
Information for nss-3.14:

Comment:
Libraries to support development of security-enabled applications


Required by:
chromium-23.0.1271.97
eclipse-3.7.1_3
eclipse-emf-2.7.2
firefox-17.0.1,1
firefox-i18n-17.0.1
gnash-0.8.10_3
icedtea-web-1.3.1
libxul-10.0.11
thunderbird-17.0
thunderbird-i18n-17.0


Description:
Network Security Services (NSS) is a set of libraries designed to support
cross-platform development of security-enabled server applications.
Applications built with NSS can support SSL v2 and v3, TLS, PKCS #5, PKCS #7,
PKCS #11, PKCS #12, S/MIME, X.509 v3 certificates, and other security
standards.

WWW: http://www.mozilla.org/projects/security/pki/nss/

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от user (??) on 04-Янв-13, 01:37 
> Required by:
> firefox-i18n-17.0.1
> thunderbird-i18n-17.0

Я не знаю что у вас за дистр, но либо в нём не очевидные названия пакетов, либо лишние зависимости у пакетов :)


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –1 +/
Сообщение от iZEN (ok) on 04-Янв-13, 01:49 
>> Required by:
>> firefox-i18n-17.0.1
>> thunderbird-i18n-17.0
> Я не знаю что у вас за дистр,

FreeBSD

> но либо в нём не очевидные названия пакетов, либо лишние зависимости у пакетов :)

pkg_info перечислила все узлы в ветвях зависимостей (список пакетов) от одного узла (пакета nss).

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –7 +/
Сообщение от Аноним (??) on 04-Янв-13, 06:42 
> FreeBSD

Я только одно не понял: что твой долбаный листинг должен доказывать? По нему не видно заблочен ли конкретный сертификат. Прикинь?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

36. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от user (??) on 04-Янв-13, 15:40 
Этот листинг показывает, что базой из библитеки мозиллы пользуются не только браузеры. В fedora этот показатель еще больше.
p.s. ваш комментарий груб и неинформативен.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

41. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –2 +/
Сообщение от linux must _RIP_ on 04-Янв-13, 17:21 
ты прикинь братан - там думать надо, а тебе хотелось только на кнопки жать ?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

55. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от Аноним (??) on 04-Янв-13, 22:37 
> ты прикинь братан - там думать надо, а тебе хотелось только на кнопки жать ?

Вот я и интересуюсь: какой глобальный вывод сделал мыслитель? То что либой оказывается пользуется куча программ? Вай, спасибо, без изена мы этого не знали. Он что, пытается титул Кэпа отбить? :)

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

42. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от iZEN (ok) on 04-Янв-13, 17:23 
>> FreeBSD
> Я только одно не понял: что твой долбаный листинг должен доказывать?

Что база данных о сертификатах находится не в браузерах, а в отдельном пакете — nss-3.14. Пока он не обновится, все зависящие от него приложения будут использовать устаревший список сертификатов для аутентификации.

> По нему не видно заблочен ли конкретный сертификат. Прикинь?

Заблочен ли конкретный сертификат можно посмотреть в Firefox, открыв "Настройки"->"Дополнительно"->"Шифрование"->"Просмотр сертификатов".
Также рекомендуется включить в "Настройках OCSP" "проверять статус сертификата, если в нём указан адрес сервера OCSP", и "при ошибке соединения с сервером OCSP рассматривать сертификат как недействительный".

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

48. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от ананим on 04-Янв-13, 20:31 
да-да, вот и интересно что понадобилось пакетам вида *i18n с переводами вида
/usr/share/locale/ru/LC_MESSAGES/*mo от базы сертификатов.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

10. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +2 +/
Сообщение от Аноним (??) on 04-Янв-13, 01:32 
Интересно, почему сразу же автоматом не убрали TÜRKTRUST из списка корневых, а возились с отзывом сертификатов?

IMHO другого метода держать остальных в узде не существует. Только если будут знать, что один прокол - и всё, лавочку закрывают навсегда.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

64. "Выявлены обманные SSL-сертификаты, полученные из-за..."  +/
Сообщение от arisu (ok) on 05-Янв-13, 01:58 
> IMHO другого метода держать остальных в узде не существует. Только если будут
> знать, что один прокол — и всё, лавочку закрывают навсегда.

и этот метод тоже не сработает. потому что централизованая система обречена на фэйл by design.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +3 +/
Сообщение от дон педро on 04-Янв-13, 05:12 
Конечно-же это была ошибка, и может быть, даже, бес попутал.

Вся эта система с SSL сертификатами настолько ненадёжная, что доверять ей, конечно, может только субъект неразбирающийся ни на йоту в деталях и принцыпах работы оной. Как ей можно доверять, когда сертификаты могут выдавать такие компании как verisign, аоl time warner Inc. и упомянутая в новости. И самое главное: ведь всем плевать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +2 +/
Сообщение от Аноним (??) on 04-Янв-13, 06:41 
> Конечно-же это была ошибка, и может быть, даже, бес попутал.

Ну да, и вовсе то они и не пытались срубить бабла на доверии. Как вы могли такое подумать?!

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Аноним (??) on 04-Янв-13, 11:45 
>> Конечно-же это была ошибка, и может быть, даже, бес попутал.
> Ну да, и вовсе то они и не пытались срубить бабла на
> доверии. Как вы могли такое подумать?!

А на чем они пытались срубить бабла? На заявлении в CPS - "Мамой клянемся, все будет хорошо"?

Брюс английским по белому предупреждал, что эта концепция доверия НЕХ не стоит выеденного яйца. У него что, неясно написано? Доверять можно тому, кого ты ЛИЧНО знаешь. И то не всякому. И ВСЕ.

А концепция деревьев доверия порочна по своей сути. Достаточно быть скомпрометированному ОДНОМУ из узловых CA/RA - и песец, коллапс всего дерева доверия. Что непонятного?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

18. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от дядя on 04-Янв-13, 05:46 
Единственное в чем польза ssl - это шифрование. "Доверие" вообще яйца выеденного не стоит. Делают деньги из воздуха.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –4 +/
Сообщение от Евгений (??) on 04-Янв-13, 11:39 
Объясню, почему вас минусуют и раскрою вашу некомпетентность в данном вопросе. Шифрование это хорошо: соединяется узел А с узлом Б и шифруют передаваемые данные - видимо, такого ваше представление об SSL.
В действительности, все несколько иначе. Предположим, вам необходимо соединиться с account.google.com. Местный DNS-резолвер вам возвращает ip-адрес хоста и вы соединяетесь с ним. Хост отправляет вам свой публичный ключ и вы, шифруя этим ключом, отправляете свои данные на сервер. Бесспорно, расшифровать ваши данные сможет только сервер, выдавший вам публичный ключ.

Но что если этот сервер не настоящий account.google.com? Что если ваш провайдер резолвит данное доменное имя гугла на фсб-ную тачку? В этом и заключается вся соль SSL - подписывание ключей сторонней независимой организацией, иными словами доказательство, что данный ключ действительно гугловский, а не чей-либо.

Сам факт шифрования канала это еще пол дела, главная задача: гарантировать, что связь происходит именно с оригинальным сервисом.

_______
Уповать на защиту SSL бессмысленно: в большинстве случаев, все ваши данные все равно расшифрованы, т.к. в датацентрах находится специальное оборудование для снифинга не только внешнего трафика, но и внутреннего, который не зашифрован.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

33. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от Аноним (??) on 04-Янв-13, 15:22 
> в датацентрах находится специальное оборудование для снифинга не только внешнего трафика, но и внутреннего, который не зашифрован

Делись.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

34. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –1 +/
Сообщение от Евгений (??) on 04-Янв-13, 15:28 
Читать до посинения: http://ru.wikipedia.org/wiki/SSL
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –1 +/
Сообщение от Аноним (??) on 04-Янв-13, 16:14 
Спасибо за разъяснения. Прочитал Ваш комментарий с интересом.

А если у меня свой днс (например прописаны жестко 8.8.8.8)? По идее это должно снизить вероятность атаки.

Кроме SSL пока ничего более надежного для браузеров не наблюдается. Исключая различные альтернативы: свой аля впн-сервер или туннель или какой-то апплет на джаве.

Вопрос: Как по Вашему мнению можно улучшить надежность SSL в контексте mitm-атак (включая случаи подмен со стороны провайдеров и не исключая фактор ненадежности удо-центров)?

Можно рассмотреть для начала крайности: идеальная схема и реально осуществимая в настоящее время подручными средствами.

Вспомнилось: вроде идея подтверждения достоверности сертификата как раз вытекает из голосования несколькими удо-центрами независимыми друг от друга. Чем их больше - тем выше вероятность "правильного подтверждения".

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от дон педро on 04-Янв-13, 16:44 
>А если у меня свой днс (например прописаны жестко 8.8.8.8)?

И кто помешает провайдеру перенаправлять пакеты куда нужно? Ещё проще попросить держателя корневого сертификата выдать им на Х дней сертификат. Шах и мат.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

45. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –1 +/
Сообщение от Аноним (??) on 04-Янв-13, 18:00 
>>А если у меня свой днс (например прописаны жестко 8.8.8.8)?
> И кто помешает провайдеру перенаправлять пакеты куда нужно? Ещё проще попросить держателя
> корневого сертификата выдать им на Х дней сертификат. Шах и мат.

Можно как-то противостоять перенаправлению пакетов в этом случае?

Но вообще печалька конечно. Остается только поднимать свой туннель, но и там возможно от другого провайдера перенаправление. В общем нужно для безопасного общения два своих сервера с туннелями, представляющие собой одновременно и клиент и сервер.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

56. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от Аноним (??) on 04-Янв-13, 22:41 
> Можно как-то противостоять перенаправлению пакетов в этом случае?

Туннель до своего серванта. Хоть тот же опенвпн, где из доверяемых ауторити оставлена только лично ваша. В таком варианте подделать пакеты будет проблематично. Но это ж надо понимать как все это работает. А типовой хомячок - ну вы поняли.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

70. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от an0num0z on 05-Янв-13, 18:00 
>> Можно как-то противостоять перенаправлению пакетов в этом случае?
> Туннель до своего серванта. Хоть тот же опенвпн, где из доверяемых ауторити
> оставлена только лично ваша. В таком варианте подделать пакеты будет проблематично.
> Но это ж надо понимать как все это работает. А типовой
> хомячок - ну вы поняли.

при проведении разъяснительной работы и хомячок заинтересуется - но вряд ли сможет что-либо сделать. Без соответствующих знаний и дополнительных усилий заведомо жертва - вы абсолютно правы

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

57. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Аноним (??) on 04-Янв-13, 22:48 
> А если у меня свой днс (например прописаны жестко 8.8.8.8)?

Есть такая штука - "прозрачный прокси". Ну или попросту говоря, технически тот кто передает ваши пакеты может их пропатчить в обе стороны. Он вам может и соврать насчет ответа днс, отредиректить пакеты независимо от того что вам сообщил DNS и прочая. Собственно, SSL/TLS пытаелся бороться в том числе и с этим. Но из-за того что trusted authority легион и любая из них может выписать кому угодно серт на что угодно, хоть на тот же гугл.ком - достаточно одному из списка пролошиться или оказаться не совсем честным и вся схема разваливается. В отдельных применениях типа openvpn это лечится - указанием единственной доверяемой ауторити, вашей. На которую у недругов нет ключа, а остальные - попросту никто и не могут заверить что либо :). Но вот в вебе - оно так не лечится, увы.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

69. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от an0num0z on 05-Янв-13, 17:57 
>[оверквотинг удален]
> вам может и соврать насчет ответа днс, отредиректить пакеты независимо от
> того что вам сообщил DNS и прочая. Собственно, SSL/TLS пытаелся бороться
> в том числе и с этим. Но из-за того что trusted
> authority легион и любая из них может выписать кому угодно серт
> на что угодно, хоть на тот же гугл.ком - достаточно одному
> из списка пролошиться или оказаться не совсем честным и вся схема
> разваливается. В отдельных применениях типа openvpn это лечится - указанием единственной
> доверяемой ауторити, вашей. На которую у недругов нет ключа, а остальные
> - попросту никто и не могут заверить что либо :). Но
> вот в вебе - оно так не лечится, увы.

где-то видел статью - разъясняющую как легко обнаружить подмену пакетов и как этому противостоять. Вывод один будущее безопасной сети за персональными серверами. Сейчас народ дурят облаками. Но это легкая нажива. Только свои машинки - не являюсь большим поклонником облаков, но думаю что для защищенности там придется изрядно повозиться. Надо чтобы сервера стали дешевыми как пока еще спички и маленькими таких же размеров а интернет стал бесплатен и РМС высылал как диски с убунтой флэшки с токенами ))

И все-же что простым пользователям и разработчикам прикладного софта и админам делать с этим безобразием в SSL. Ведь раньше эти случаи были редки. Надо что-то предпринимать или хотя бы пересмотреть традиционные подходы.

Спасибо за развернутый ответ.
Может SSL тут не причем в общем. Кроме подделки сертификатов как выясняется слабое звено в первичных не-секурных запросах. Вобщем туннелирование днс запросов через свою доверенную сеть рулит. Может кроме туннелей есть секурный днс?


Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

65. "Выявлены обманные SSL-сертификаты, полученные из-за..."  –2 +/
Сообщение от arisu (ok) on 05-Янв-13, 02:01 
> Вопрос: Как по Вашему мнению можно улучшить надежность SSL

выкинуть его нафиг. оно починке не поддаётся в принципе: как «запорожец» не тюнь, а «lamborgini» всё равно не получится.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

68. "Выявлены обманные SSL-сертификаты, полученные из-за..."  +/
Сообщение от an0num0z on 05-Янв-13, 17:42 
>> Вопрос: Как по Вашему мнению можно улучшить надежность SSL
> выкинуть его нафиг. оно починке не поддаётся в принципе: как «запорожец» не
> тюнь, а «lamborgini» всё равно не получится.

Простите, а Вы как на гмейл и им подобные ходите и проверяете свои акаунты в онлайне и почту? Только откровенно: вы любите сайты почту, в которых авторизация идет без SSL, а пароли не солятся быстрорастворимой солью? Или может быть это просто старая теплая ненависть к SSL?

<--...-->

выкинуть всегда успеется, если есть достойная замена. Для меня весь драмматизм с SSL в том, что ему альтернативы нет на фоне браузерных технологий (и не только: все ведь крутится вокруг библиотеки openssl... не так-ли? (хотя эта либа особо тут не причем и не решает "социально-инженерных" проблем) ). Именно это напрягает. Неужели так сложны применяемые технологии? Хотя по-ходу данный монополизм выгоден (вопрос кому) и что подтверждает на практике мы имеем дело с выделяющимися крайностями. С одной стороны монополизм (возможно ошибаюсь но что-то не попадалось альтернатив), с другой жесткая конкуренция и фрагментация + мутная водчика. Хотя man openssl отвечает практически на все вопросы.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

75. "Выявлены обманные SSL-сертификаты, полученные из-за..."  –2 +/
Сообщение от arisu (ok) on 06-Янв-13, 00:57 
> Простите, а Вы как на гмейл и им подобные ходите и проверяете
> свои акаунты в онлайне и почту?

никак: зачем мне эти зонды? у меня свой сервер, с пингвинами и поэзией. о какой вообще безопасности может идти речь, когда *личная* информация хранится незнамо у кого?

ах, да: *свой* сервер. вот он, железный, рядом со мной, можно пощупать. а не загадочное нечто в далёком датацентре.

впрочем, если СИЛЬНО хочется обмениваться информацией через гугель, то шифрование никто ещё не отменял. а уж как обменяться ключами — это другой вопрос.

> выкинуть всегда успеется, если есть достойная замена.

которая не появится, пока «да ладно, оно же даёт иллюзию безопасности. значит — работает. да и бизнес на сертификатах тоже вкусный.»

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

43. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –2 +/
Сообщение от Аноним (??) on 04-Янв-13, 17:47 
>> Единственное в чем польза ssl - это шифрование. "Доверие" вообще яйца выеденного не стоит.
> Объясню, почему вас минусуют и раскрою вашу некомпетентность в данном вопросе.

Я так и не понял в каком месте там была некомпетентность. Шифрование в ssl работает, просто взять и расшифровать пакет нельзя. Гарантии сторонних организаций - фейл, они с тем же успехом, что и провайдер, могут отдать ключь фсб.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

44. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +2 +/
Сообщение от filosofem (ok) on 04-Янв-13, 17:58 
>>> Единственное в чем польза ssl - это шифрование. "Доверие" вообще яйца выеденного не стоит.
>> Объясню, почему вас минусуют и раскрою вашу некомпетентность в данном вопросе.
> Я так и не понял в каком месте там была некомпетентность. Шифрование
> в ssl работает, просто взять и расшифровать пакет нельзя. Гарантии сторонних
> организаций - фейл, они с тем же успехом, что и провайдер,
> могут отдать ключь фсб.

В слове "ключь". Правильно "ключъ". В остальном всё верно, ваш оппонент бредит.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

51. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Евгений (??) on 04-Янв-13, 21:10 
> Я так и не понял в каком месте там была некомпетентность. Шифрование
> в ssl работает, просто взять и расшифровать пакет нельзя. Гарантии сторонних
> организаций - фейл, они с тем же успехом, что и провайдер,
> могут отдать ключь фсб.

Сорри, я так и думал, что неправильно понял вас изначально. Речь шла именно об этом фейковым доверии, который я счел непониманием простых принципов SSL.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

47. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Xasd (ok) on 04-Янв-13, 19:47 
> в датацентрах находится специальное оборудование для снифинга не только внешнего трафика, но и внутреннего, который не зашифрован.

и как же они этот внутренний трафик получают? неужто это оборудование расшифровывает SSL? а откуда взялся private-ключ у этого оборудования?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

49. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –1 +/
Сообщение от Евгений (??) on 04-Янв-13, 21:06 
Никто ничего не расшифровывает. Впереди стоит балансировщик. Обычно он же SSL-фронтенд. Траф от фронтенда до бэкендов идет не зашифрованным (внутренний трафик датацентра). Оборудование типа Carnivore/СОРМ-2 слушает оба трафика: и внешний, и внутренний.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

50. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от KT315 (ok) on 04-Янв-13, 21:10 
SSL это протокол, а не шифр или система шифрования. Синхронизация ключей шифрования происходит благодаря системе открытого ключа шифрования. Сертификат применяется для аутентификации и обмена ключами.
Сертификат как раз и говорит, что я "тот кто я есть" и вот тебе мой открытый ключ, который ты можешь использовать для синхронизации со мной ключа шифрованния данных, а у меня есть закрытый ключ, которым я расшифрую этот трафик, но я его не скажу. Потом ты отправляешь зашифрованный открытым ключем - ключ шифрования (к примеру ключ блочного алгоритма шифрования - aes). Сервак его получил и расшифровал закрытым ключем. Дальше ты шифруешь отправляемые данные ключем шифрования блочного (или потокового) шифра свои персональные данные и пересылаешь по "открытому" каналу. Сервак уже может расшифровать данные ключем блочного (или потокового) шифра - ибо ты его передал с помощью открытого ключа. Блочный или потоковый шифр используется, т.к. для системы открытого ключа требуется существенно больше вычислительных мощностей, при достижении такой же надежности, как у блочного или потокового алгоритма шифрования.

Понятно от куда у сервера расшифрованные данные? Иначе не обработать данные не расшифровав их. Данные в основном в сетях должны шифроваться только для защиты их от извлечения по "открытому" каналу связи и в местах длительного хранения (ПЗУ).

А теперь, кто осилил то, что я написал, то что будет, если кто-то получит фиктивный сертификат с открытым ключем?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

78. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Xasd (ok) on 07-Янв-13, 06:03 
"датацентрах находится специальное оборудование для снифинга" -- вот как ИМЕННО ЭТО ОБОРУДОВАНИЕ подучает доступ к зашифрованному трафику?

а про сервера объснять не надо

> А теперь, кто осилил то, что я написал, то что будет, если кто-то получит фиктивный сертификат с открытым ключем?

если я хозяин сервера и решил подключитсья к своему серверу из дома -- то для меня не составит проблемы посмотреть на отпечаток ключа (совпадёт ли он или нет?). таким образом хозяин сервера может ОДНОЗНАЧНО определить была ли подстановка или не было. [в случае если в датацентре стоит "специальное оборудование для снифинга SSL"].

сразу вопрос: каким образом можно сделать MitM над SSL и при этом НЕ поменять отпечаток ключа? ни каким? значит невозможно сделать MitM над SSL совершенно незаметным. хозяен сервера узнает об MitM и сразуже разгорится скандал => очередной доверенный центр SSL пойдёт в вечный бан от Mozilla и Chromium.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

79. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от KT315 (ok) on 07-Янв-13, 12:11 
> "датацентрах находится специальное оборудование для снифинга" -- вот как ИМЕННО ЭТО ОБОРУДОВАНИЕ
> подучает доступ к зашифрованному трафику?
> а про сервера объснять не надо

это оборудование стоит уже за сервером, который расшифровывает трафик. Далее трафик, уже будучи расшифрованным, заворачивается в маршрут для прослушки спец оборудованием (незачем ему шифрованный трафик).

> если я хозяин сервера и решил подключитсья к своему серверу из дома
> -- то для меня не составит проблемы посмотреть на отпечаток ключа
> (совпадёт ли он или нет?). таким образом хозяин сервера может ОДНОЗНАЧНО
> определить была ли подстановка или не было. [в случае если в
> датацентре стоит "специальное оборудование для снифинга SSL"].
> сразу вопрос: каким образом можно сделать MitM над SSL и при этом
> НЕ поменять отпечаток ключа? ни каким? значит невозможно сделать MitM над
> SSL совершенно незаметным. хозяен сервера узнает об MitM и сразуже разгорится
> скандал => очередной доверенный центр SSL пойдёт в вечный бан от
> Mozilla и Chromium.

Часто вы смотрите на отпечаток?
А если серверов сотня, для балансировки нагрузки, вы ведете учет по каждому из них?
А если закончился срок сертификата, то все, подмена? Ведь злоумышленнику тоже ничего не мешает, применить свой фиктивный сертификат в день замены сертификата, и какой из 2х будут действительный - вы знать не будете.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

53. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Аноним (??) on 04-Янв-13, 22:01 
> В действительности, все несколько иначе. Предположим, вам необходимо соединиться с account.google.com.
> Местный DNS-резолвер вам возвращает ip-адрес хоста и вы соединяетесь с ним.

Перенаправив клиента на левый хост, вы не сможете подделать сертификат, который выписан на _домен_. В ответ на левый незаверенный сертификат, который вы попытайтесь вручить клиенту, его браузер начнёт кричать что хост не тот за кого себя выдаёт. Не зная закрытого ключа невозможно создать поддельный SSL-канал к клиенту с промежуточного хоста, вы можете тольно попытаться впарить самоподписанный сертификат.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

66. "Выявлены обманные SSL-сертификаты, полученные из-за..."  +/
Сообщение от arisu (ok) on 05-Янв-13, 02:05 
> В ответ на левый незаверенный сертификат, который вы попытайтесь
> вручить клиенту, его браузер начнёт кричать что хост не тот за
> кого себя выдаёт.

после чего юзер бездумно тыкнет в кнопку «принять и заткнуться», матеря про себя тупоголовых создателей софта, которые только и умеют, что доставлять проблемы.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

71. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от an0num0z on 05-Янв-13, 18:24 
>> В действительности, все несколько иначе. Предположим, вам необходимо соединиться с account.google.com.
>> Местный DNS-резолвер вам возвращает ip-адрес хоста и вы соединяетесь с ним.
> Перенаправив клиента на левый хост, вы не сможете подделать сертификат, который выписан
> на _домен_. В ответ на левый незаверенный сертификат, который вы попытайтесь
> вручить клиенту, его браузер начнёт кричать что хост не тот за
> кого себя выдаёт. Не зная закрытого ключа невозможно создать поддельный SSL-канал
> к клиенту с промежуточного хоста, вы можете тольно попытаться впарить самоподписанный
> сертификат.

Это действительно так, только например гугл часто отдает разные сертификаты и очень сложно понять валидный он или нет, на фоне постоянных усовершенствований со стороны разработчиков браузеров. То зеленый то серый (например в лисе) - обращаю на это периодически внимание но дальше изучения подписей дело не заходит. Потом сам гугл не очень внушает доверия после запросов whois google.com

============
  Server Name: GOOGLE.COM.ZZZZZZZZZZZZZZZZZZZZZZZZZZZ.LOVE.AND.TOLERANCE.THE-WONDERBOLTS.COM
   IP Address: 50.62.130.9
   Registrar: GODADDY.COM, LLC
   Whois Server: whois.godaddy.com
   Referral URL: http://registrar.godaddy.com

   Server Name: GOOGLE.COM.ZZZZZZZZZZZZZZZZZZZZZZZZZZ.HAVENDATA.COM
   IP Address: 50.23.75.44
   Registrar: PDR LTD. D/B/A PUBLICDOMAINREGISTRY.COM
   Whois Server: whois.PublicDomainRegistry.com
   Referral URL: http://www.PublicDomainRegistry.com

   Server Name: GOOGLE.COM.ZZZZZZZZZZZZZ.GET.ONE.MILLION.DOLLARS.AT.WWW.UNIMUNDI.COM
   IP Address: 209.126.190.70
   Registrar: PDR LTD. D/B/A PUBLICDOMAINREGISTRY.COM
   Whois Server: whois.PublicDomainRegistry.com
   Referral URL: http://www.PublicDomainRegistry.com

   Server Name: GOOGLE.COM.ZZZZZ.GET.LAID.AT.WWW.SWINGINGCOMMUNITY.COM
   IP Address: 69.41.185.195
   Registrar: TUCOWS.COM CO.
   Whois Server: whois.tucows.com
   Referral URL: http://domainhelp.opensrs.net

   Server Name: GOOGLE.COM.ZOMBIED.AND.HACKED.BY.WWW.WEB-HACK.COM
   IP Address: 217.107.217.167
   Registrar: DOMAINCONTEXT, INC.
   Whois Server: whois.domaincontext.com
   Referral URL: http://www.domaincontext.com

   Server Name: GOOGLE.COM.ZNAET.PRODOMEN.COM
   IP Address: 62.149.23.126
   Registrar: PDR LTD. D/B/A PUBLICDOMAINREGISTRY.COM
   Whois Server: whois.PublicDomainRegistry.com
   Referral URL: http://www.PublicDomainRegistry.com

   Server Name: GOOGLE.COM.Z.LOVE.AND.TOLERANCE.THE-WONDERBOLTS.COM
   IP Address: 50.62.130.9
   Registrar: GODADDY.COM, LLC
   Whois Server: whois.godaddy.com
   Referral URL: http://registrar.godaddy.com

   Server Name: GOOGLE.COM.YUCEKIRBAC.COM
   IP Address: 88.246.115.134
   Registrar: PDR LTD. D/B/A PUBLICDOMAINREGISTRY.COM
   Whois Server: whois.PublicDomainRegistry.com
   Referral URL: http://www.PublicDomainRegistry.com

   Server Name: GOOGLE.COM.YUCEHOCA.COM
   IP Address: 88.246.115.134
   Registrar: PDR LTD. D/B/A PUBLICDOMAINREGISTRY.COM
   Whois Server: whois.PublicDomainRegistry.com
   Referral URL: http://www.PublicDomainRegistry.com

   Server Name: GOOGLE.COM.WORDT.DOOR.VEEL.WHTERS.GEBRUIKT.SERVERTJE.NET
   IP Address: 62.41.27.144
   Registrar: KEY-SYSTEMS GMBH
   Whois Server: whois.rrpproxy.net
   Referral URL: http://www.key-systems.net

============
Да и вообще гугл стал все редиректить на домен google.ru а его сертификат "серый" :(


только у мзиллы нормуль цвет

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

58. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Ytch (ok) on 04-Янв-13, 23:15 
>...в датацентрах находится специальное оборудование для снифинга не только внешнего трафика, но и внутреннего, который не зашифрован.

Да. Если уж кто-то читает секретные донесения вслух, а у вас есть возможность поставить рядом микрофон, то нет никакого смысла заморачиваться с перехватами, расшифровками и т. п.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

80. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от дядя on 07-Янв-13, 22:38 
Объясню почему вас минусуют - 99.99% сайтов в интернете с SSL. Никакого доверия к ним нет. То что им выдали сертификат с закрытыми глазами - тоже абсолютно ничего не значит, т.к. они сами по себе могут быть man-in-the-middle. Например, изменить 1 букву в имени домена и выписать себе сертификат. Все. А у пользователя возникнет ложное чувство доверенности из-за зеленого замка.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

21. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от Z (??) on 04-Янв-13, 07:53 
>  в августе 2011 года по ошибке двум организациям вместо обычных SSL-сертификатов были выписаны вторичные корневые сертификаты

Сколько? Удивительно, что в такой новости нет ни одного символа $, только бред про "по ошибке". Еще интересно, сам владелец бизнеса был в курсе, когда совершал такую "ошибку", которая уничтожит бизнес (вход в который стоит не дешево, а прибыль дает не сильно большую) или это кто-то из наемников за спиной работодателя так "ошибся"?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от Аноним (??) on 04-Янв-13, 09:41 
> Сколько? Удивительно, что в такой новости нет ни одного символа $, только
> бред про "по ошибке".

Более-менее понятно, что эти сертификаты были тихо выданы под системы выявления утечек данных или для местных спецслужб. Ни они первые, Trustwave CA за руку в прошлом году на этом поймали (http://www.opennet.me/opennews/art.shtml?num=33034).

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

22. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –1 +/
Сообщение от unscrubber on 04-Янв-13, 09:23 
diginotar2 aka turktrust - "давай, до свиданья" :-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Аноним (??) on 04-Янв-13, 10:19 
ИМХО: Доверие не должно происходить автоматически, а до тех пор пока это так — будут такие инциденты. Я не призываю отказываться от этой системы и проверять лично каждый сертификат сайта, просто надо быть готовым …

Кстати, гугл могли бы присылать для аутентификации по SMS хеш своего публичного ключа (fingerprint или как там его), что-бы убедится что нету "посредника" ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Аноним (??) on 04-Янв-13, 11:48 
> ИМХО: Доверие не должно происходить автоматически, а до тех пор пока это
> так — будут такие инциденты. Я не призываю отказываться от этой
> системы и проверять лично каждый сертификат сайта, просто надо быть готовым
> …

Готовым к чему? Конкретно можно?

> Кстати, гугл могли бы присылать для аутентификации по SMS хеш своего публичного
> ключа (fingerprint или как там его), что-бы убедится что нету "посредника"
> ?

Чушь собачья. Костыль костылей. Рекомендую вначале почитать-таки Брюса - он как-никак ведущий криптограф а не хрен собачий с опеннета. И знает толк в криптографии.


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

32. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от VoDA (ok) on 04-Янв-13, 15:15 
> Рекомендую вначале почитать-таки Брюса - он как-никак ведущий
> криптограф а не хрен собачий с опеннета. И знает толк в
> криптографии.

и какое у него решение текущей проблемы для сертификатов?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  –1 +/
Сообщение от clown on 04-Янв-13, 15:39 
1 послать всех на
2 покупать сертификаты у него, ему доверять можно

Криптографов в мире хватает, да и не нужно им быть чтобы придумать ИДЕЮ. хотели по простому - всё испортил человеческий фактор. Теперь будет по-сложному.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

39. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +1 +/
Сообщение от Аноним (??) on 04-Янв-13, 16:23 
> 1 послать всех на
> 2 покупать сертификаты у него, ему доверять можно
> Криптографов в мире хватает, да и не нужно им быть чтобы придумать
> ИДЕЮ. хотели по простому - всё испортил человеческий фактор. Теперь будет
> по-сложному.

Рабинович, не надо перепевать Карузо. Ты тоже не читал Шнайера.

Тащемта - да, додуматься до идеи нетрудно. Но статью Брюса-таки прочти. Все же не ты ее написал, а он - и когда написал! На дату посмотри!

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

52. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Аноним (??) on 04-Янв-13, 21:54 
> всё испортил человеческий фактор.

не испортил, а показал несостоятельность. доверие, оберегаемое угрозой санкций, цена репутации - цена услуг пласт. хирурга плюс новая история жизни, подтвержденная документарно. а то мало-ли что по защищенному SSL передадут, человека там транспондируют по частям, или, боже мой, зачатие по электронной почте (понятие доверия ведь перенесли в Сеть из жизни).

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

38. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от Аноним (??) on 04-Янв-13, 16:22 
>> Рекомендую вначале почитать-таки Брюса - он как-никак ведущий
>> криптограф а не хрен собачий с опеннета. И знает толк в
>> криптографии.
> и какое у него решение текущей проблемы для сертификатов?

И не только текущей. Пойди на его сайт и почитай. Может, просветление наступит.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

60. "Выявлены обманные SSL-сертификаты, полученные из-за..."  –1 +/
Сообщение от arisu (ok) on 05-Янв-13, 01:38 
SSL — это надёжно!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Выявлены обманные SSL-сертификаты, полученные из-за..."  +1 +/
Сообщение от Аноним (??) on 05-Янв-13, 18:40 
> SSL — это надёжно!

(лениво) Толсто же, Арису. Толстенный наброс, аж жыр из монитора потек.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

73. "Выявлены обманные SSL-сертификаты, полученные из-за..."  +/
Сообщение от Аноним (??) on 05-Янв-13, 19:44 
SSK + TLS v1.2 + DNSSEC
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

74. "Выявлены обманные SSL-сертификаты, полученные из-за..."  +/
Сообщение от arisu (ok) on 06-Янв-13, 00:28 
> SSK + TLS v1.2 + DNSSEC

лучше, чем «голый» ssl, но не намного. к тому же — подписывать весь сайт? если он, например, динамически генерируется? не лучший вариант.

остаётся, опять же, вопрос доверия ключу. решаемый, но тем не менее.

p.s. ах, да. DNS. с ключевым словом «централизация».

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

76. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от lincz on 06-Янв-13, 02:57 
MITM-атаки. Охохо, MIT - это турецкая гэбня.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Выявлены обманные SSL-сертификаты, полученные из-за халатнос..."  +/
Сообщение от iZEN (ok) on 06-Янв-13, 15:56 
Порт библиотеки nss на FreeBSD обновили: http://www.freshports.org/security/nss/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру