форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Злоумышленникам удалось получить поддельные SSL-сертификаты"	+/–
Сообщение от opennews on 23-Мрт-11, 17:17
Стали известны дополнительные подробности причин экстренного обновления черных списков SSL-сертификатов в Firefox (http://www.opennet.dev/opennews/art.shtml?num=29998), Chrome/Chromium (http://googlechromereleases.blogspot.com/2011/03/stable-and-...) и других web-браузерах. По данным (https://blog.torproject.org/blog/detecting-certificate-autho...) из блога разработчиков проекта Tor злоумышленникам удалось получить восемь валидных HTTPS-сертификатов для ряда известных web-ресурсов, среди которых сайты Facebook, Skype, Google, Microsoft и Mozilla (реально, поддельных сертификатов может быть больше, в трафике сети Tor было выявлено 8). Предполагается, что подобное стало возможным в результате  компрометации центра сертификации Comodo (CA (http://ru.wikipedia.org/wiki/%D0%A6%D0%B...)). Используя данные сертификаты злоумышленники могут... URL: https://blog.torproject.org/blog/detecting-certificate-autho... Новость: http://www.opennet.dev/opennews/art.shtml?num=30010
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	–1 +/–
Сообщение от Marbleless on 23-Мрт-11, 17:17
>одного из центров сертификации Какого именно, не известно? Если неизвестно, то почему, можно ведь отследить цепочку подписей?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+2 +/–
	Сообщение от User294 (ok) on 23-Мрт-11, 17:21
	Написано же: > Предполагается, что подобное стало возможным в результате компрометации > центра сертификации Comodo (CA).
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+2 +/–
Сообщение от Marbleless on 23-Мрт-11, 17:38
> центра сертификации Comodo (CA). Да, вижу, что теперь уже написали. Ну, Comodo - оно и есть Comodo. Плохо, что существующая система с глобальными интернет-нотариусами может привести к таким последствиям.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+1 +/–
	Сообщение от Andrey Mitrofanov on 23-Мрт-11, 17:45
	> Да, вижу, что теперь уже написали. Представь себе, и об этом: > Плохо, что существующая система с глобальными интернет-нотариусами может привести к таким последствиям. - этот самый "разработчик Tor" ioerror "уже написал". Длинно и разнообразно.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "получить поддельные SSL-сертификаты"	+1 +/–
Сообщение от Andrey Mitrofanov on 23-Мрт-11, 17:41
> может быть больше, 8 выявлено в трафике сети Tor. Разработчик Tor анализирова открытые источники (списки отозванных сертификатов по "интернетам") в поисках "очернённых" броузеростроителями _серийных _номеров сертификатов. Нашёл 8, по ним -- выдавший ЦА, перепродавца Комодовского "авторитета". Никакого "трафика сети Tor", совсем. Максимум: сказал, что аналогичные блэклисты-затычки для Tor ещё в разработке. Все равно никакого "трафика Tor".... >> получить поддельные SSL-сертификаты И кстати, про $SUBJ: сертификаты-то настоящие B) , их "просто" удалось получить "кому-то не тому", насколько я ничего не понимаю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "получить поддельные SSL-сертификаты"	+/–
	Сообщение от angel_il (ok) on 23-Мрт-11, 19:10
	я тоже именно так непонял
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+3 +/–
Сообщение от xz (??) on 23-Мрт-11, 19:27
>В худшем случае данный инцидент может поставить >под угрозу сам принцип организации иерархии >удостоверяющих центров. Принцип то гнилой,давно пора.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	21. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+1 +/–
	Сообщение от iZEN (ok) on 24-Мрт-11, 10:00
	Принцип не гнилой. Гнилой сам подход к его реализации в некоторых клиентских программах и браузерах, когда по умолчанию сертификаты ПРОХОДЯТ проверку при отсутствии доступа к серверу OCSP (серверу, содержащими список отозванных сертификатов). В частности, в Firefox 4.0 по умолчанию сертификат считается валидным, если нет доступа к серверу OCSP. В настройках Дополнительные -> Шифрование -> Настройки OCSP можно изменить это злосчастное умолчание, если взвести галочку "При ошибке соединения с сервером OCSP, рассматривать сертификат как недействительный". ;)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	–11 +/–
Сообщение от Аноним (??) on 23-Мрт-11, 22:06
Принцип гнилой ? А сам протокол ? Я так понимаю если соединение устанавливается по открытому каналу, и на клиенте изначально нет секретного ключа, то сев на канал в момент установки соединения можно снять все исходные данные для дальнейшей расшифровки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+2 +/–
	Сообщение от Аноним (??) on 24-Мрт-11, 01:10
	Ты того ... матчасть вначале изучи а потом уж на пол-мира позорься :)
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	15. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+4 +/–
	Сообщение от Vitaly_loki (ok) on 24-Мрт-11, 05:55
	Правильно, что разлогинился перед тем, как такой бред писать :) Почитай как работает ассиметричное шифрование. - Клиент скачивает с сервера сертификат (открытый ключ). - Потом клиент генерирует сеансовый ключ, - Зашифровывает его открытым ключом (сертификатом). Расшифровать сеансовый ключ может ТОЛЬКО сервер (ибо только у него есть закрытая часть ключа). - Сеансовый ключ отсылается серверу (отсылается он ЗАШИФРОВАННЫЙ открытым ключом). Потом соединение шифруется уже сеансовым ключ. Итого, закрытый/открытый ключ нужен только для того чтоб обменяться сеансовым ключом
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	19. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+1 +/–
	Сообщение от zazik (ok) on 24-Мрт-11, 09:46
	> Правильно, что разлогинился перед тем, как такой бред писать :) Почитай как > работает ассиметричное шифрование. > - Клиент скачивает с сервера сертификат (открытый ключ). > - Потом клиент генерирует сеансовый ключ, > - Зашифровывает его открытым ключом (сертификатом). Расшифровать сеансовый ключ может > ТОЛЬКО сервер (ибо только у него есть закрытая часть ключа). > - Сеансовый ключ отсылается серверу (отсылается он ЗАШИФРОВАННЫЙ открытым ключом). > Потом соединение шифруется уже сеансовым ключ. Итого, закрытый/открытый ключ нужен только > для того чтоб обменяться сеансовым ключом Может быть он наслушался про MIM и неправильно себе представляет эту атаку?
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	24. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+1 +/–
	Сообщение от Аноним (??) on 24-Мрт-11, 11:17
	Дык читал, и дырку вижу, хотя может просто чего то и недопонял, вы не кипешуйте так, если объясните в чем я не прав и чего не понимаю то буду вам весьма благодарен. Мы посередине. Значит в начале можем вместо сертификата сервера подсунуть клиенту свой (самоподписанность также обходится), и соответственно расшифровать его запрос, т.к. алгоритм формирования сеансового ключа известен и закрытая часть ключа у нас есть. Далее расшифровав клиентский запрос мы формируем и отправляем серверу свой запрос, как будто мы изначальный клиент, и далее действуем как прокси, ну и собственно все.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	25. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+/–
	Сообщение от Vitaly_loki (ok) on 24-Мрт-11, 11:36
	А-а-, дак вы имеете в виду Man-In-the- Middle атаку. Ну дак и в чем тут гнилость протокола? Если вы предоставили клиенту КОРРЕКТНЫЙ сертификат, подменили DNS-запись, то какие претензии к протоколу то? Может это DNS гнилой? :) Или ARP? :) По-вашему получается гнилое все ассиметричное шифрование, как класс.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	28. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+/–
	Сообщение от filosofem (ok) on 24-Мрт-11, 12:31
	Все так. Поэтому и существуют CA, чьи сертификаты распространяются вместе с браузером и которые подтверждают аутентичность сертификата сервера. В чем гнилость протокола и какие есть еще варианты?
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	29. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+/–
	Сообщение от . on 04-Апр-11, 13:24
	сценарий такой только при использовании rsa; возможен также вариант с diffie-hellman
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

13. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+/–
Сообщение от alltiptop (ok) on 23-Мрт-11, 23:52
напомнило http://community.livejournal.com/ctrlaltdel_rus/427626.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	+/–
Сообщение от CHERTS (??) on 24-Мрт-11, 08:49
Недавно отказался от получения сертификата от COMODO и видать правильно, если их корневой сертификат был скомпрометирован.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Злоумышленникам удалось получить поддельные SSL-сертификаты"	–1 +/–
Сообщение от iZEN (ok) on 24-Мрт-11, 09:24
Доходчиво и ясно: http://habrahabr.ru/blogs/infosecurity/116084/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Злоумышленникам удалось получить поддельные SSL-сертификаты ..."	+/–
Сообщение от Аноним (??) on 24-Мрт-11, 09:54
wow! даже микрософты подсуетились и выпустили секурапдейт http://go.microsoft.com/fwlink/?LinkId=214214 viva la microsofta!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Злоумышленникам удалось получить поддельные SSL-сертификаты ..."	+1 +/–
Сообщение от Аноним (??) on 24-Мрт-11, 10:22
Вот мне интерестно почему у Comodo не вызвало подозрение то, что ВНЕЗАПНО одновременно гуглу, яху, скайпу и мозилле понадобились сертификаты?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	23. "Злоумышленникам удалось получить поддельные SSL-сертификаты ..."	+2 +/–
	Сообщение от vadiml (ok) on 24-Мрт-11, 10:39
	Они же не вручную создаются. Пришёл заказ -> снялись деньги -> поставилась подпись Люди обычно смотрят когда что-то стопорится, идёт не так.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	27. "Злоумышленникам удалось получить поддельные SSL-сертификаты ..."	+1 +/–
	Сообщение от TiGR on 24-Мрт-11, 11:57
	Это понятно, но система же должна реагировать как-то, когда на домен, для которого есть существующий и действенный сертификат хотят получить новый. Тут должна происходить какая-то подстраховка.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Злоумышленникам удалось получить поддельные SSL-сертификаты ..."	+/–
Сообщение от misterex on 24-Мрт-11, 11:39
ну ничего ж не мешает Comodo иметь blacklist`ы
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема