В мире существует всего несколько крупных поставщиков сертификатов SSL, и два из них ВериСайн И КоМоДо .
Более того, сертификаты VeriSign значительно дороже и позиционируются в первую очередь для верхнего сегмента рынка: банков, крупных порталов, госорганов.
CoMoDo проще, работает через широкую сеть реселлеров, а в период ценовых войн они снизили стоимость своих сертификатов (правда, выпущенных под другим брендом) до $7 в год. Однако можно сказать, что этими двумя компаниями на рынке SSL являются Coca-Cola и Pepsi-Cola. И вот CoMoDo выпускает Новостная рассылка , сообщив о наличии серьезной уязвимости, которую они обнаружили при изучении процесса выдачи SSL-сертификатов VeriSign. Характер уязвимости не раскрывается, но утверждается, что CoMoDo проинформировала VeriSign об уязвимости недавно, а 23 июня был отправлен второй документ, и CoMoDo получила ответ от VeriSign о принимаемых мерах, но эти меры разочаровывают. CoMoDo ожидает, что VeriSign как минимум проинформирует всех своих клиентов о существовании уязвимости, чтобы клиенты могли оценить риски и принять соответствующие меры.
Что VeriSign уже сделал (видно): — с 24 июня кнопка «отозвать сертификат» на общедоступном сайте больше не доступна.
— Google со вчерашнего дня больше не предоставляет доступ к информации через доменные имена.
— Информация об администраторах, такая как адрес электронной почты, со вчерашнего дня недоступна на общедоступном сайте.
Несколько шагов остаются невыполненными, например, доступ к общедоступным спискам квалифицированных доменных имен.
Природа уязвимости из этого сообщения пока не очень ясна.
Скорее всего, конкурент нашел способ незаконно отозвать SSL-сертификат, а возможно, и заменить его на новый.
Теги: #comodo #verisign #SSL #безопасность #уязвимость #сертификат #информационная безопасность
-
Новое Задание. Теперь О Заключенных
19 Oct, 24 -
Digg.com Не Работает!
19 Oct, 24
