https://opennet.dev/openforum/vsluhforumID3/101836.html Компания Google сообщила (http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-digital-certificate-security.html) о выявлении в сети обманного TLS-сертификата, используемого в прокси-сервере для установки не вызывающих подозрений защищённых соединений с любыми серверами в сети. В том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google.<br><br><br>В ходе разбирательства выяснилось, что китайский удостоверяющий центр CNNIC (China Internet Network Information Center) передал холдингу MCS промежуточный (https://en.wikipedia.org/wiki/Intermediate_certificate_authorities) (вторичный) корневой сертификат, на условии его использования только для доменов, зарегистрированных данной компанией. Нарушив все правила обращения с корневыми сертификатами, закрытый ключ не был изначально помещён в HSM (Hardware Security Module), а установлен в MITM-прокси, осуществляющем перехват защищённых соединений с целью контроля за работой сотрудников корпорации. <br><br><br>По сути прокси сервер был наделён пол https://opennet.dev/openforum/vsluhforumID3/101836.html#58 Wed, 02 Dec 2015 17:14:56 GMT Может быть Network Information Center зоны CN?<br> https://opennet.dev/openforum/vsluhforumID3/101836.html#57 Thu, 26 Mar 2015 09:29:15 GMT &gt; Да нафиг нужно на самоподписанных то..<br><br>Судя по тексту новости, несамоподписанные не сильно отличаются от самоподписанных. :)))<br> https://opennet.dev/openforum/vsluhforumID3/101836.html#56 Thu, 26 Mar 2015 04:10:46 GMT &gt;&gt; https://ssl.opennet.ru <br>&gt; Не знал, спасибо :).<br><br>Да нафиг нужно на самоподписанных то..<br> https://opennet.dev/openforum/vsluhforumID3/101836.html#55 Thu, 26 Mar 2015 01:19:16 GMT Примечание к примечанию. Даже последний случай не даёт права фальсифицировать данные.<br> https://opennet.dev/openforum/vsluhforumID3/101836.html#54 Thu, 26 Mar 2015 01:06:51 GMT Примечание. Сайты не заинтересованные в такого рода вещах могут и должны использовать http. Без s.<br> https://opennet.dev/openforum/vsluhforumID3/101836.html#53 Thu, 26 Mar 2015 00:29:58 GMT &gt;[оверквотинг удален]<br>&gt; компании либо полное раздолбайство, либо это произошло с негласного разрешения руководства <br>&gt; компании).<br>&gt; Однако на мое сообщение появились аж два возражения: <br>&gt; 1. Это не дает 100% гарантию, ведь можно отключить JavaScript или вырезать <br>&gt; его на промежуточном узле, осуществляющем атаку.<br>&gt; Ну, конечно, можно, только для этого потребуется реализовать Искусственный интеллект, <br>&gt; который анализирует страницу, убирает нужный скрипт и не изменяет поведение страницы <br>&gt; в браузере пользователя.<br>&gt; 2. Это может быть не безопасно.<br>&gt; Тут я вообще не понял, о чем речь.<br><br>You are an stupid idiot. Really, a certificate falsification means the server are falsified. Where you send information to?<br>И они почему-то считают, что фальсификация сертификатов допустима, если она делается внутри каких-то компаний в их внутренних сетях от имени этих компаний.<br>Я лично не вижу оснований оправдывающих такое. Конечно например Google может подарить кому угодно право подписываться за себя, но в любом д https://opennet.dev/openforum/vsluhforumID3/101836.html#52 Wed, 25 Mar 2015 23:42:22 GMT &gt; CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проектов, поддерживая <br>&gt; повсеместное внедрение https.<br><br>Поддерживая повсеместное внедрение. Внедрение.<br>Своих сертификатов &gt;:-)<br> https://opennet.dev/openforum/vsluhforumID3/101836.html#51 Wed, 25 Mar 2015 20:34:04 GMT &#171;мужик, я не понимаю: ты охотник или #$%:с?&#187; (ц)<br> https://opennet.dev/openforum/vsluhforumID3/101836.html#50 Wed, 25 Mar 2015 17:24:52 GMT &gt; Пора переходить на одноразовые блокноты. <br><br>"А на словах просил передать следующее" (C)<br>