Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
отметили
20
человек
в архиве
В блоге разработчиков проекта Tor опубликован полный список параметров обманных SSL-сертификатов, сгенерированных злоумышленниками в результате компрометации удостоверяющего центра DigiNotar. Список был получен благодаря содействию правительства Нидерландов, которое инициировало проведение полного аудита удостоверяющего центра DigiNotar. В списке присутствует 531 сертификат, в то время как изначально сообщалось о создании 247 обманного сертификата. 283 сертификата создано 10 июля, 128 — 18 июля и 125 — 20 июля. Т.е. фактически были предприняты три атаки.
Сертификаты были сгенерированы как для крупных компаний, таких как Yahoo!, Google, Mozilla, Microsoft (включая сертификаты для службы Windows Update), Skype, Facebook и Twitter, так и для доменов спецслужб, например, для сайтов ЦРУ (cia.gov), МИ-6 (sis.gov.uk) и Моссад (mossad.gov.il). Особый интерес представляют сертификаты созданные для доменов с маской "*.*.com" и "*.*.org", а также сертификаты с именами других удостоверяющих центров, например, 'VeriSign Root CA' и 'Thawte Root CA'.
В списке также числится сертификат для несуществующего домена RamzShekaneBozorg.com с мета-данными «OU=Sare Toro Ham Mishkanam,L=Tehran,O=Hameye Ramzaro Mishkanam». Если данные выражения воспринять как текст на фарси, то перевод будет означать «RamzShekaneBozorg» — «великий взломщик», «Hameyeh Ramzaro Mishkanam» — «я взломаю все шифрование» и «Sare Toro Ham Mishkanam» — «я ненавижу ваше правительство».
В настоящее время насчитывается уже около 1500 первичных CA-сертификатов, контролируемых примерно 650 разными организациями. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации. Компрометация одного из центров сертификации (CA — Certificate Authority) может привести к коллапсу всей системы, так как никто не запрещает сгенерировать сертификат для любого домена, независимо от того от какого удостоверяющего центра получен сертификат.
В качестве одного из способов защиты называется разработка и внедрение методов перекрёстной сертификации. Компания Google реализовала в браузере Chrome другой метод защиты. Начиная с Chromium 13 в браузер интегрирован дополнительный список привязки доменов к центрам сертификации. Изначально в данном списке присутствовали заслуживающие доверие центры сертификации для сервисов Google, но позднее стала приниматься информация о привязке к CA и для других доменов.
Сертификаты были сгенерированы как для крупных компаний, таких как Yahoo!, Google, Mozilla, Microsoft (включая сертификаты для службы Windows Update), Skype, Facebook и Twitter, так и для доменов спецслужб, например, для сайтов ЦРУ (cia.gov), МИ-6 (sis.gov.uk) и Моссад (mossad.gov.il). Особый интерес представляют сертификаты созданные для доменов с маской "*.*.com" и "*.*.org", а также сертификаты с именами других удостоверяющих центров, например, 'VeriSign Root CA' и 'Thawte Root CA'.
В списке также числится сертификат для несуществующего домена RamzShekaneBozorg.com с мета-данными «OU=Sare Toro Ham Mishkanam,L=Tehran,O=Hameye Ramzaro Mishkanam». Если данные выражения воспринять как текст на фарси, то перевод будет означать «RamzShekaneBozorg» — «великий взломщик», «Hameyeh Ramzaro Mishkanam» — «я взломаю все шифрование» и «Sare Toro Ham Mishkanam» — «я ненавижу ваше правительство».
В настоящее время насчитывается уже около 1500 первичных CA-сертификатов, контролируемых примерно 650 разными организациями. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации. Компрометация одного из центров сертификации (CA — Certificate Authority) может привести к коллапсу всей системы, так как никто не запрещает сгенерировать сертификат для любого домена, независимо от того от какого удостоверяющего центра получен сертификат.
В качестве одного из способов защиты называется разработка и внедрение методов перекрёстной сертификации. Компания Google реализовала в браузере Chrome другой метод защиты. Начиная с Chromium 13 в браузер интегрирован дополнительный список привязки доменов к центрам сертификации. Изначально в данном списке присутствовали заслуживающие доверие центры сертификации для сервисов Google, но позднее стала приниматься информация о привязке к CA и для других доменов.
Добавил ![X86]()
X86 6 Сентября 2011
X86 6 Сентября 2011нет комментариев
На эту же тему:
29
Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor
— 1 Сентября 2011
63
В сети зафиксирован обманный SSL-сертификат для сервисов Google
— 30 Августа 2011
Комментарии участников:
Ни одного комментария пока не добавлено