The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В сети зафиксирован обманный SSL-сертификат для сервисов Google"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В сети зафиксирован обманный SSL-сертификат для сервисов Google"  +/
Сообщение от opennews (??) on 30-Авг-11, 17:45 
В сети зафиксирован (http://googleonlinesecurity.blogspot.com/2011/08/update-on-a...) факт использования для организации атаки "man-in-the-middle (http://ru.wikipedia.org/wiki/%D0%A7%D0%B...)" (MITM) обманного SSL-сертификата, действующего для доменов *.google.com. Обманный сертификат был выдан удостоверяющим центром DigiNotar, т.е. формально для пользователя сессия выглядела полностью валидной.

Используя данный сертификат была предпринята попытка перенаправления трафика для использующих шифрование иранских пользователей Google через промежуточный узел, выдающий пользователям обманный сертификат, после чего организующий перехват трафика с его прозрачной трансляцией на оригинальные серверы Google с использованием обычных SSL-сертификатов Google. Работа через поддельный сайт ничем не отличалась от прямого обращения к серверу Google, браузеры считали HTTPS-сессию валидно...

URL: http://googleonlinesecurity.blogspot.com/2011/08/update-on-a...
Новость: http://www.opennet.dev/opennews/art.shtml?num=31635

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


5. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от Аноним (??) on 30-Авг-11, 18:05 
> В случае невозможности осуществить проверочный запрос браузеры не в состоянии определить отозван сертификат или нет и могут полагаться только на локальный черный список.

Мало того что в самой идеи SSL (куча непонятных левых центров сертификации непонятно как и кем контролируемых) содержится проблема, так ещё и в большинстве приложений поддержка SSL реализована не корректно. Полный провал...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +8 +/
Сообщение от Аноним (??) on 30-Авг-11, 18:39 
Да ладно вам, SSL сертификаты оперируют доверием. А значит человеческий фактор никуда не девается. Зато репутация тех кто выдал сертификаты кому попало - упадет ниже плинтуса и никакого доверия им не будет. Собственно, из списка доверяемых центр вынесли, что логично вроде. Естественный отбор центров сертификации.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

59. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от ЬТЛ on 31-Авг-11, 12:04 
не соглашусь, точнее соглашусь, но не во всем... их слишком много (центров сертификации), сегодня мі узнали что нельзя доверять конкретно этому центру, а они завтра делают ребрендинг и опять на рынке. при таком количестве мы этого не заметим :-(
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

63. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  –4 +/
Сообщение от Аноним (??) on 31-Авг-11, 12:50 
> не соглашусь, точнее соглашусь,

Шиза косила наши ряды :))

> но не во всем... их слишком много (центров  сертификации),

А уж сколько много человеков! Вот Васе я доверяю, а Пете - не очень. А есть еще более 6 миллиардов человек. Ужас! Я даже не могу запомнить всех кому банки доверяют достаточно для выдачи кредита.

> сегодня мі узнали что нельзя доверять конкретно этому центру, а
> они завтра делают ребрендинг и опять на рынке. при таком количестве
> мы этого не заметим :-(

Не, ну конечно можно в принудительном порядке доверять только правительству Китая, например. А несогласных - расстрелять. Зато сразу будет понятно кому доверять. Правда, какое-то хреновое доверие получается.

Другое дело что какой-то рейтинг ауторитей можно придумать. И тем не менее, даже самый белый и пушистый ауторити в принципе могут взломать. Доверяя - проверяй.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

84. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 01-Сен-11, 00:08 
Вот-вот, нужно было сделать один центральный центр сертификации при цк кпсс, и чтобы сертификаты выдавал лично сам Сталин.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

96. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от www2 (??) on 01-Сен-11, 14:00 
И чтобы при взломе этого центра сертификации вообще весь SSL накрывался медным тазом и больше никто и никому не доверял.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

103. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 11-Сен-11, 16:34 
А он и накрылся, если ты не понял. Коллапс деревьев доверия, предсказанный Брюсом - он уже начался.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

6. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  –2 +/
Сообщение от Аноним (??) on 30-Авг-11, 18:16 
Непонятно вообще зачем поставляют эти гигантские списки корневых сертификатов центров сертификации. Допустим я хожу по SSL в офис, в гугл и в банк, спрашивается - зачем браузер доверяет остальным 1500 сертификатам которые я никогда не буду использовать? Похоже специально только что бы была возможность делать дырки M-in-M...

Нужно по умолчанию делать список доверенных CA пустым и что бы пользователь сам решал кому он верит.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от Аноним (??) on 30-Авг-11, 18:40 
> Нужно по умолчанию делать список доверенных CA пустым и что бы пользователь
> сам решал кому он верит.

Select all -> delete, или как-то так? :)))

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

46. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Пронин email on 31-Авг-11, 04:36 
>> Нужно по умолчанию делать список доверенных CA пустым и что бы пользователь сам решал кому он верит.
>Select all -> delete, или как-то так? :)))

Нет, не так.
Add -> select trusted -> ok

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

64. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от Аноним (??) on 31-Авг-11, 12:51 
> Нет, не так.
> Add -> select trusted -> ok

Имелось в виду как действовать в современных реалиях. Ну не нравится вам пачка сертификатов - выпните ее :)

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

10. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Frank email(ok) on 30-Авг-11, 18:43 
И какой тогда вообще будет смысл в центрах сертификации? Стирайте их из вашего локального хранилища и сами решайте, доверять или нет каждому сертификату! Вперёд и с песней...
Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в интегрированной рекламе на посещаемых вами страницах.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 30-Авг-11, 18:52 
> И какой тогда вообще будет смысл в центрах сертификации?

Сайт который не может обеспечить проверку подписи по отдельному каналу будет использовать центр сертификации, а я буду решать верить этому центру или нет.

> Стирайте их из вашего локального хранилища и сами решайте, доверять или нет каждому сертификату! Вперёд и с песней... Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в интегрированной рекламе на посещаемых вами страницах.

Спите дальше, я не собираюсь получать рекламу по SSL следовательно и проверять её не буду. Это должно быть удобно. И все удалённые сертификаты после обновления не должны обратно добавляться.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

24. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от Аноним (??) on 30-Авг-11, 19:29 
> И какой тогда вообще будет смысл в центрах сертификации? Стирайте их из
> вашего локального хранилища и сами решайте, доверять или нет каждому сертификату!
> Вперёд и с песней...
> Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в
> интегрированной рекламе на посещаемых вами страницах.

Какой рекламе? Сразу адблок, хотя ещё лучше если он и не понадобится, потому что браузер эту рекламу показывать не будет.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

26. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от Аноним (??) on 30-Авг-11, 20:52 
> Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в
> интегрированной рекламе на посещаемых вами страницах.

Ого! Сертифицированная реклама?! А может просто настроить AdBlockPlus с правильной подпиской и забыть о ней? :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от umbr (ok) on 30-Авг-11, 18:55 
95% процентов населения придерживаются иного мнения.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 30-Авг-11, 19:02 
> 95% процентов населения придерживаются иного мнения.

Они и сейчас не защищены. Какая разница?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 30-Авг-11, 19:07 
> 95% процентов населения придерживаются иного мнения.

Ну будет у них красненький значёк гореть в адресной строке на всех SSL сайтах. Какая разница? Не хотят проверять - не надо. Зачем заставлять и навязывать _свои_ сертификаты? Что бы была иллюзия защищённости?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

25. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +14 +/
Сообщение от анонимус (??) on 30-Авг-11, 20:10 
>95% процентов населения придерживаются иного мнения.

у 95% процентов населения нет своего мнения.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

41. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от ffirefox on 31-Авг-11, 02:36 
> Непонятно вообще зачем поставляют эти гигантские списки корневых сертификатов центров
> сертификации.

А почему не сделать как в PGP, центры сертификации должны подписывать сертификаты друг друга? Хотя бы минимальная защита от взлома одного из центров сертификации.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

44. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 31-Авг-11, 03:37 
>> Непонятно вообще зачем поставляют эти гигантские списки корневых сертификатов центров
>> сертификации.
> А почему не сделать как в PGP, центры сертификации должны подписывать сертификаты
> друг друга? Хотя бы минимальная защита от взлома одного из центров
> сертификации.

Да, как вариант. Меньше трёх валидных подписей разных CA — считать сертификат сайта не доверенным.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

74. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Crazy Alex (ok) on 31-Авг-11, 15:03 
Конкуренты, подписывающие сертификаты друг друга? Как вы это себе представляете?
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

76. "В сети зафиксирован обманный SSL-сертификат для сервисов..."  +2 +/
Сообщение от anonymous (??) on 31-Авг-11, 15:07 
> Конкуренты, подписывающие сертификаты друг друга? Как вы это себе представляете?

а зачем на этом вообще какой-то бизнес строили? ну, что строили, на то и напоролись. Невидимая Рука Рынка ведь.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

78. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Andrey Mitrofanov on 31-Авг-11, 15:24 
> А почему не сделать как в PGP, центры сертификации должны подписывать сертификаты
> друг друга? Хотя бы минимальная защита от взлома одного из центров
> сертификации.

Никакой "минимальной защиты" это не даёт.

Мозила (и Гугль, и Опера, и Мысы, и...) поставляли со своими релизами (=публиковали =доверяли) сертификат DigiNotar. Как это _помогло хоть какой-то "защите от взлома" этого самого DigiNotar? (Понятно, что не совсем взлом в данном случае, и Мозила - не СА, но для этого аргумента не существенно.)

Защиту (и то с окнами уязвимости -- во _время смены/отзыва) даёт постоянный обмен информацией об актуальности серт-ов (контроль, доверие, отзыв). Причём всё это не решается [только] техническими средствами, проблема в большой степени организационная. Начиная с того, что пользователям было предложено _переложить всю эту работу на "кого-то там", потому что "так проще" и "за ваши $$ вы получаете Продукт".

...и да, в PGP-мире тоже есть "человеческий фактор".

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

87. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от upyx (ok) on 01-Сен-11, 08:35 
Рядом человек предложил другую идею: подписывать сертификат не одним CA, а несколькими. Тогда, чтобы получить поддельный, нужно будет сломать все CA, подписавшие сертификат. С другой стороны, это может быть опциональным: можно сгенерировать самоподписанный сертификат, можно его подписать в одном СА, а можно - в нескольких. Вася Пупкин для своей домашней странички может ограничиться первым вариантом, а крупные сайты - последним. Эта идея будет работать, что подтверждает сама новость:

> "...браузеры считали HTTPS-сессию валидной и не выдавали предупреждения (за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google)."

Chrome проверяет сертификаты Google дополнительно еще каким-то методом, если один из методов не дал положительный результат, выдается предупреждение.

Также это не рушит "бизнес CA": владелец сайта просто последовательно подписывает свой сертификат в нескольких центрах. Пользователь в итоге может видеть сколько CA "расписалось на сертификате" и уже делать соответствующие выводы.

Хотя возможно это все потребует некоторого расширение стандарта?.. Да и проблему решит вряд ли...

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

104. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 11-Сен-11, 16:37 
> Рядом человек предложил другую идею: подписывать сертификат не одним CA, а несколькими.
> Тогда, чтобы получить поддельный, нужно будет сломать все CA, подписавшие сертификат.
> С другой стороны, это может быть опциональным: можно сгенерировать самоподписанный сертификат,
> можно его подписать в одном СА, а можно - в нескольких.
> Вася Пупкин для своей домашней странички может ограничиться первым вариантом, а
> крупные сайты - последним. Эта идея будет работать, что подтверждает сама
> новость:

Это бы работало при одном условии - если не принимается один подписавший CA - не принимается весь сертификат в целом.

А теперь представь это на практике. Дюжина подписантов. Крупный ресурс. Один серт горит красным. Всех юзеров откидывает на disney.com. Миллионы жалоб админам. Писец? Представил?

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

7. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +3 +/
Сообщение от umbr (ok) on 30-Авг-11, 18:25 
Забавно, что в норвежском браузере Opera нет корневого сертификата норвежского же удостоверяющего центра DigiNotar :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +2 +/
Сообщение от Аноним (??) on 30-Авг-11, 18:56 
> за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google

Еще один повод "за".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +2 +/
Сообщение от Аноним (??) on 30-Авг-11, 19:04 
>> за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google
> Еще один повод "за".

Сертификатов Google.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от umbr (ok) on 30-Авг-11, 19:12 
Дополнительные проверки - прерогатива IE.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +4 +/
Сообщение от Олег (??) on 30-Авг-11, 19:22 
Дополнительные проверки "достаточно ли исказил верстку или еще можно подломать"? :)
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 30-Авг-11, 20:55 
> Дополнительные проверки - прерогатива IE.

Да, они очень забавно дополнительно НеПроверяли подписи активиксов в свое время. Выглядело архиэпично - хакер мог просто загрузить и запустить свою программу, вообще не заморачиваясь подписями :))). Впрочем, хакер - это больно громкое название при таком методе взлома.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

18. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  –1 +/
Сообщение от анонимус (??) on 30-Авг-11, 19:10 
Похоже кто-то хочет жестко скопрометировать текущий вариант с SSL/PKI/X.509 и внедрить что-то свое ... не гугл ли это случайно ? И подозрения от себя отвели забавно - мол наш домен использовали и мы пострадальцы :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +6 +/
Сообщение от umbr (ok) on 30-Авг-11, 19:14 
Для внедрения чего-то своего Гуглу не нужны такие хитрые планы.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

33. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  –1 +/
Сообщение от ДФ (ok) on 30-Авг-11, 23:09 
Не скажите - в сертификатном бизнесе большие акулы плавают, и если у них БЕЗ ПРИЧИНЫ попробуют увести безнес - они будут явно сопротивляться, и у Гугла могут пропасть еще много сертификатов - чтоб не повадно было.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  –1 +/
Сообщение от тоже Аноним email(ok) on 30-Авг-11, 19:16 
Злоумышленники взломали надежную защиту, маскировались под Сам Великий Гугль, и только браузер Самого Великого Гугля смог их обнаружить. Да, все серьезно и международно, а еще в новости фигурирует Иран, правда, не весь, а только тот, который пользовался Самим Великим Гуглем и горя не знал.
Как-то чересчур похоже на пиар-акцию, вопрос только, чью...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +2 +/
Сообщение от ДФ (ok) on 30-Авг-11, 22:39 
Англосаксы, однозначно. Сейчас они всем миром борются за срыв запуска АЭС в Бушере. Не забыли еще про супер-профессиоанльную хакерскую атаку на компы Бушера, на которую способны только сильные мира сего? Ни Китай же с Россией себе в ногу стреляли!
Если АЭС запустят, у Ахмадинижада вырастет рейтинг среди населения. Поэтому западу надо выходить на контакт с оппозицией, зазывать в свои ряды новых иранских "Навальных", чтобы они навалились на президента Ирана в нужный момент. В открытую запад не может это делать, поэтому все средства хороши - нанимают контору, которой "нечаянно сливают" SSL сертификат, и она перехватывает тыщи иранских юзеров-лузеров, забрасывая их агитацией против кровавого режима, или еще как-нибудь тонко троллят.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

45. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +2 +/
Сообщение от ABC (??) on 31-Авг-11, 03:55 
Перехватывать трафик, чтобы "забрасывать агитацией"? Отличная трава!
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

68. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от ДФ (ok) on 31-Авг-11, 13:11 
Для того чтобы переманить иранца к себе, троллям надо знать его интересы, семейные дела, психологический портрет, контакты и тд, которые можно выловить из его почтового ящика. А троллить без разведки - это крайне неэффективно, а иногда даже контр-продуктивно.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

70. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  –1 +/
Сообщение от тоже Аноним (ok) on 31-Авг-11, 13:21 
Подозреваю, среднестатистического иранца дешевле тупо подкупить, чем провести такое расследование и эффективно работать с его результатами.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

79. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от ДФ (ok) on 31-Авг-11, 15:29 
Там нунжы идейные люди, которые будут творить революцию и верить в ее победу. Типа наших "правозащитников" и "навальных". За деньги талант не купишь - максимум массовку постоять с флажком, которая разбежится при первой возможности. Поэтому, кроме денег нужно что-то еще...
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

98. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Avator (ok) on 02-Сен-11, 05:21 
Не проще у гугла спросить. Уверен что гугл с удовольствием такой информацией поделится с госдепом США и прочими ведомствами =))
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

28. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +7 +/
Сообщение от Аноним (??) on 30-Авг-11, 21:38 
Надо этот DigiNotar из всех CA bundles во всех дистрибутивах нафиг отозвать. И чтобы так было с каждым.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +3 +/
Сообщение от bircoph (ok) on 31-Авг-11, 01:31 
В связи с потерей доверия ©
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

105. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 11-Сен-11, 16:38 
> В связи с потерей доверия ©

В x509 эта процедура не предусмотрена. Курить надо матчасть, прежде, чем кидаться умными идеями.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

29. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 30-Авг-11, 21:49 
а что ктото на эти сертификаты внимание обращает разве ????
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от taheer on 30-Авг-11, 22:22 
> а чо ктото на эти сертификаты внимание обращает разве ????

Ну, если человек покупает авиабилеты, например, а ему в процессе оплаты выскакивает предупреждение о невозможности проверки сертификата... По моему, только весьма недалекий человек не почувствует неладное. Ну а потеря денег (особенно своих:)) весьма быстро приучает задумываться о таких вопросах.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

50. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 31-Авг-11, 09:21 
и что ты будешь делать ? поедешь в аэропорт за билетами ???
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

51. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 31-Авг-11, 09:44 
Пойдёт к другом агентству по продаже билетов, вот и всё.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

61. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от bircoph (ok) on 31-Авг-11, 12:42 
Ну не совсем, на тот же скай или S7 купить в инете можно только в одном месте, если без переплаты посредникам.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

97. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 02-Сен-11, 00:19 
> и что ты будешь делать ? поедешь в аэропорт за билетами ???

Не, ну можно и второй раз бабки прое... :).

"Только бледнолицый брат может встать 2 раза на одни и те же грабли".

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

99. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Avator (ok) on 02-Сен-11, 05:25 
Можно просто в авиакомпанию или в банк, чей сертификат не валиден позвонить. Уверен что служба безопасности быстро с вопросом разберется.
А я лично, если например у сайта банка будет не валидный сертификат, не буду логинится в "банк-клиент" или покупать биллеты. А если выясниться, что сертификат невалиден по недосмотру сотрудников банка/авиакомпании серьезно задумаюсь о том чтобы поменять банк/перестать пользоваться услугами этой авиакомпании.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

100. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Сен-11, 10:10 
> Можно просто в авиакомпанию или в банк, чей сертификат не валиден позвонить.
> Уверен что служба безопасности быстро с вопросом разберется.
> А я лично, если например у сайта банка будет не валидный сертификат,
> не буду логинится в "банк-клиент" или покупать биллеты. А если выясниться,
> что сертификат невалиден по недосмотру сотрудников банка/авиакомпании серьезно задумаюсь
> о том чтобы поменять банк/перестать пользоваться услугами этой авиакомпании.

Эх, если б всё было так просто. А вот когда с банком фирма уже давно работает, и тут вдруг такая нехорошесть вылезает — что делать? Кроме сисадмина ведь никто обычно не оценит уровень опасности. И фирма продолжит работать с этим банком. Потому что у неё уже многое на оном банке завязано, а резону не видят.

И, в принципе, они правы. Потому что российские банки в этом плане практически все поголовно (во всяком случае, все, с которыми приходилось в данном ключе работать) страдают криворукостью. Вернее, страдают клиенты, от драконовских мер, которые в реальности не обеспечивают безопасность, так как компенсируются идиотизмом.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

101. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Avator (ok) on 03-Сен-11, 03:18 
Да уж... сочувствую. Но тем не менее тревогу можно забить.
И кроме того, хотя бы то что, как частное лицо я могу выбирать уже хорошо.
PS Слава богу еще ни разу не видел что у банка был просроченный сертификат или подписанный неизвестно кем.


Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

35. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +2 +/
Сообщение от Аноним (??) on 30-Авг-11, 23:47 
Потому что надо чтобы сертификат был подписан несколькими CA.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от AdVv email(ok) on 31-Авг-11, 01:08 
> Потому что надо чтобы сертификат был подписан несколькими CA.

Разве такая возможность заложена в стандарт ? Пруф можно ?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

43. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +1 +/
Сообщение от Аноним (??) on 31-Авг-11, 03:29 
> Разве такая возможность заложена в стандарт ? Пруф можно ?

Какой пруф? Это предложение.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

54. "В сети зафиксирован обманный SSL-сертификат для сервисов Goo..."  +/
Сообщение от Аноним (??) on 31-Авг-11, 10:31 
Стандарт бы почитали, прежде, чем трындеть. Есть такое понятие как RA.

PS. Матчасть читать до просветления перед озарениями.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

48. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от Аноним (??) on 31-Авг-11, 06:15 
была предпринята попытка перенаправления трафика иранских пользователей - ЦРУ не спит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от Pahanivo (ok) on 31-Авг-11, 06:53 
> была предпринята попытка перенаправления трафика иранских пользователей - ЦРУ не спит.

ну хоть один заметил собственно цель атаки ))
все срутся по поводу дырок SSL - но тут ведь надо еще где-то в середине поставить оборудование на сотни килобаксов чтобы осуществить "перенаправления трафика иранских пользователей "

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

53. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от AdVv email(ok) on 31-Авг-11, 10:21 
>> была предпринята попытка перенаправления трафика иранских пользователей - ЦРУ не спит.
> ну хоть один заметил собственно цель атаки ))
> все срутся по поводу дырок SSL - но тут ведь надо еще
> где-то в середине поставить оборудование на сотни килобаксов чтобы осуществить "перенаправления
> трафика иранских пользователей "

Это верно. Но и взлом инфраструктуры доверенного центра тоже задачка не для кул хацкера. Если припомнить червя с двумя 0-day уязвимостями, который дестабилизировал установки по обогащению урана... Как и было обещано война переместилась в сеть.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

71. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от Pahanivo (ok) on 31-Авг-11, 14:03 
> Это верно. Но и взлом инфраструктуры доверенного центра тоже задачка не для
> кул хацкера. Если припомнить червя с двумя 0-day уязвимостями, который дестабилизировал
> установки по обогащению урана... Как и было обещано война переместилась в
> сеть.

по сравнению с затратами на оборудование для прослушки трафика в масштабах страны (причем  шифрованного) - хак удостоверяющего центра представляется чем-то чуть сложнее чем забрать конфету у ребенка, там более терморектальный криптоанализ еще никто не отменил )))

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

81. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от ДФ (ok) on 31-Авг-11, 18:13 
> Как и было обещано война переместилась в сеть.

А кто обещал? Намек от наших был http://www.youtube.com/watch?v=oIhcdi3leqE чтоб морально готовились , но пока ответственные политики молчат.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

83. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от AkexYeCu on 01-Сен-11, 00:03 
Рисовка красивая и интересная, а закадровый текст вызывает зевоту. Стать откровением или источником страхов такой ролик может лишь для очень недалёкого субъекта, не прочитавшего в жизни и пары строчек.
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

62. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от umbr (ok) on 31-Авг-11, 12:47 
Вы имеете ввиду иранское ЦРУ?
:)
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

82. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от Nxx (ok) on 31-Авг-11, 18:22 
ЦРУ и так может все узнать через официальный запрос к гуглю. Думаю, атака от израильских хакеров.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

55. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от Аноним (??) on 31-Авг-11, 10:47 
второй взлом за год ? оригинальненько..
Сначала Commodo, теперь DigiNotar
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от Аноним (??) on 31-Авг-11, 12:54 
> второй взлом за год ? оригинальненько..
> Сначала Commodo, теперь DigiNotar

Естественный отбор. Лузеры не способные защищаться должны вымереть.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

106. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от Аноним (??) on 11-Сен-11, 16:40 
> второй взлом за год ? оригинальненько..
> Сначала Commodo, теперь DigiNotar

Писал бы без ошибок. COMODO, собственно. И они, вообще, славятся своими разработками в области безопасности, в отличие от тебя, тащемта.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

57. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  –1 +/
Сообщение от Аноним email(??) on 31-Авг-11, 11:29 
http://convergence.io
присоединяйтесь к нам товарищи, нужны тестеры.
пока пилим поддержку клиентом ff6+, сервера стабильно работают. )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Обнаружен обманный SSL-сертификат для сервисов Google..."  +/
Сообщение от anonymous (??) on 31-Авг-11, 14:30 
> http://convergence.io
> присоединяйтесь к нам товарищи, нужны тестеры.
> пока пилим поддержку клиентом ff6+, сервера стабильно работают. )

по «details» рекламное тра-та-та. нормального технического описания «влёт» не увидел. вёрстка вырвиглазная. не пойду туда больше, очередной пиар-пузырь.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

75. "Обнаружен обманный SSL-сертификат для сервисов Google..."  +/
Сообщение от Crazy Alex (ok) on 31-Авг-11, 15:07 
Непонятно, но выглядит интересно. Древовидная система CA - зло.
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

77. "Обнаружен обманный SSL-сертификат для сервисов Google..."  +/
Сообщение от anonymous (??) on 31-Авг-11, 15:09 
> Непонятно, но выглядит интересно. Древовидная система CA - зло.

я лично так и не понял, что оно такое. маркетинг буллшит я на автомате пропускаю, а технических описаний не нашёл.

что, конечно, не отменяет идиотичности современной системы.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

90. "Обнаружен обманный SSL-сертификат для сервисов Google..."  +/
Сообщение от Аноним email(??) on 01-Сен-11, 10:39 
>> Непонятно, но выглядит интересно. Древовидная система CA - зло.
> я лично так и не понял, что оно такое. маркетинг буллшит я
> на автомате пропускаю, а технических описаний не нашёл.
> что, конечно, не отменяет идиотичности современной системы.

Про техническую имплементацию можно послушать либо на ютубе - http://www.youtube.com/watch?v=Z7Wl2FW2TcA
либо почитать в исходниках на гитхабе.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

93. "Обнаружен обманный SSL-сертификат для сервисов Google..."  +/
Сообщение от anonymous (??) on 01-Сен-11, 10:46 
> Про техническую имплементацию можно послушать либо на ютубе - http://www.youtube.com/watch?v=Z7Wl2FW2TcA

что-то меня не тянет слушать. я хочу техническую документацию, с пояснениями идей и реализации, чтобы вдумчиво помедитировать.

> либо почитать в исходниках на гитхабе.

то есть, нормальной документации нет. благодарю, всё ясно: лихим кавалерийским наскоком, с развевающимися пионерскими галстуками. not interested, несерьёзно это всё. детский сад, штаны на лямках.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

107. "Обнаружен обманный SSL-сертификат для сервисов Google..."  +/
Сообщение от Аноним (??) on 11-Сен-11, 16:41 
>> Про техническую имплементацию можно послушать либо на ютубе - http://www.youtube.com/watch?v=Z7Wl2FW2TcA
> что-то меня не тянет слушать. я хочу техническую документацию, с пояснениями идей
> и реализации, чтобы вдумчиво помедитировать.
>> либо почитать в исходниках на гитхабе.
> то есть, нормальной документации нет. благодарю, всё ясно: лихим кавалерийским наскоком,
> с развевающимися пионерскими галстуками. not interested, несерьёзно это всё. детский сад,
> штаны на лямках.

Гугли "архитектура PKI", "X500", "X509" до просветления.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

89. "Let me google that for you"  +/
Сообщение от Аноним email(??) on 01-Сен-11, 10:37 
>> http://convergence.io
>> присоединяйтесь к нам товарищи, нужны тестеры.
>> пока пилим поддержку клиентом ff6+, сервера стабильно работают. )
> по «details» рекламное тра-та-та. нормального технического описания «влёт»
> не увидел. вёрстка вырвиглазная. не пойду туда больше, очередной пиар-пузырь.

очень хотелось ответить "kthxbye", но http://www.youtube.com/watch?v=Z7Wl2FW2TcA Мокси веселый мужик - послушайте его ) для любителей чтива - http://blog.thoughtcrime.org/ssl-and-the-future-of-authenticity
проект еще даже не в бете, что бы не писали на конвергенс ио, так что вот.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

94. "Let me google that for you"  +/
Сообщение от anonymous (??) on 01-Сен-11, 10:50 
> очень хотелось ответить «kthxbye», но http://www.youtube.com/watch?v=Z7Wl2FW2TcA Мокси
> веселый мужик — послушайте его )

я не аудиал.

> для любителей чтива — http://blog.thoughtcrime.org/ssl-and-the-future-of-authenticity

чтиво унылое, из разряда «Капитан Очевидность спешит на помощь».

> проект еще даже не в бете, что бы не писали на конвергенс
> ио, так что вот.

тем более надо сделать нормальную техдокументацию. пока, как я писал выше, оно всё выглядит совершенно пионерским «а мы сделаем своё! не знаем точно, что, но крутое!»

впрочем, я подозреваю, что участники проекта сочтут желание видеть вменяемые техдоки за «троллинг» или «обгаживание».

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

60. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +1 +/
Сообщение от ызусефещк on 31-Авг-11, 12:35 
Что-то спецслужбы недооценили гугловые проверки в хроме. Обычно всё у них нормально проходит. Вот статья на эту тему - "Сертифицированная ложь" :
http://www.pgpru.com/biblioteka/statji/certifiedlies
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

65. "В сети зафиксирован обманный SSL-сертификат для сервисов Google"  +/
Сообщение от MrClon on 31-Авг-11, 12:52 
Проблемы, на сколько я понимаю, не столько в архитектуре SSL, сколько в реализации (до чёрта центров сертификации).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

80. "В сети зафиксирован обманный SSL-сертификат для сервисов Google"  +/
Сообщение от Pahanivo (ok) on 31-Авг-11, 16:15 
> Проблемы, на сколько я понимаю, не столько в архитектуре SSL, сколько в
> реализации (до чёрта центров сертификации).

человеческий фактор будет всегда

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

108. "В сети зафиксирован обманный SSL-сертификат для сервисов Google"  +/
Сообщение от Аноним (??) on 11-Сен-11, 16:42 
> Проблемы, на сколько я понимаю, не столько в архитектуре SSL, сколько в
> реализации (до чёрта центров сертификации).

Проблема именно в архитектуре SSL. Погугли "OCSP".

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

67. "В сети зафиксирован обманный SSL-сертификат для сервисов Google"  +/
Сообщение от centosuser (ok) on 31-Авг-11, 13:03 
я просто больше не доверяю этому центру сертификации. Поставил галочку - не доверять.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

69. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +1 +/
Сообщение от Wormik (ok) on 31-Авг-11, 13:12 
Количество пользователей браузера Chrome резко возрасло
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Обнаружен обманный SSL-сертификат для сервисов Google..."  +/
Сообщение от anonymous (??) on 31-Авг-11, 14:17 
(задумчиво) а я давно говорю, что это ваше SSL — распиареный мыльный пузырь. идея хорошая, реализация — как всегда.

для дотошных: да, я могу предложить другие методы. только нафига? внедрять их всё равно никто не будет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

91. "Обнаружен обманный SSL-сертификат для сервисов Google..."  +/
Сообщение от Аноним email(??) on 01-Сен-11, 10:42 
> (задумчиво) а я давно говорю, что это ваше SSL — распиареный мыльный
> пузырь. идея хорошая, реализация — как всегда.
> для дотошных: да, я могу предложить другие методы. только нафига? внедрять их
> всё равно никто не будет.

Идея как раз порочна

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

92. "Обнаружен обманный SSL-сертификат для сервисов Google..."  +/
Сообщение от anonymous (??) on 01-Сен-11, 10:43 
> Идея как раз порочна

идея иметь шифрованые соединения — хороша. а вот всё остальное…

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

85. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от dmi3s email(ok) on 01-Сен-11, 03:57 
DigiNotar соизволила рассказать про некоторые другие сайты, вошедшие в те "несколько дюжин", для которых были выданы левые сертификаты.

Под раздачу попали (по крайней мере) addons.mozilla.org, Yahoo.com, Tor Project, WordPress и иранский Baladin. Сертификаты были выданы 10 июля, отозваны 29 августа, сколько их реально использовали - неизвестно. Как неизвестно, и какие еще сайты затронуты (пока лишь есть информация, что в вышедшем во вторник Chromium прошитый список заблокированных сертификатов увеличился на 247 позиций).

Отсюда: http://bugtraq.ru/rsn/archive/2011/09/01.html

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

88. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от Аноним (??) on 01-Сен-11, 08:44 
У нас все центры проходт через ФэЭсБэ - соот эти ребята тоже могут наступить на айца местный СА довольно просто. Так что у нас подобная ситуация чуть больше чем возможна.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

95. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от ызусефещк on 01-Сен-11, 13:48 
Эта ситуация возможна в любой стране. Более того - давно уже происходит. Каждое государство может выпустить в своих центрах сертификаты для зарубежных организаций и пользователи ничего не заметят, потому как СА легальны. Я выше давал ссылку на статью http://www.pgpru.com/biblioteka/statji/certifiedlies .
Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

102. "Обнаружен обманный SSL-сертификат для сервисов Google (допол..."  +/
Сообщение от Акроним on 03-Сен-11, 12:50 
Про этот удостоверяющий центр уже писали, что это типо очередная подставная фирмочка ЦРУ, каким счёту нет, проводила сбор информации в Иране в целях подготовки ведения военных действий там. Дело в том, что по законам любого штата США, общей сложившейся обстановке и судебной практике на ЦРУ наехать невозможно, поэтому они и творят, что хотят, всё шито-крыто.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру