Сначала немного желтого: Центр сертификации Comodo Internet Security (их корневой сертификат признан надежным большинством производителей браузеров) подписал следующие сертификаты для неизвестных мошенников: * mail.google.com, www.google.com * login.yahoo.com (3 шт.) *login.skype.com *addons.mozilla.org *login.live.com Если мошенник предоставит этот сертификат, браузеры примут его как действительный.
Другими словами, не будет возможности определить, что сайт фейковый.
Теперь подробнее.
Эти сертификаты были выданы, после чего за кулисами начался фурор; производители браузеров (по крайней мере, Chrome и Firefox) добавили их в черный список (составленный в коде).
Для Firefox это произошло 17 марта 2011 года, все версии, выпущенные до этого момента, будут доверять этим сертификатам (хотел написать «подвержен уязвимостям», но проблема в том, что это не уязвимость, это график Comodo, который почему -все вынуждены доверять).
По идее, должна быть произведена проверка, находится ли сертификат в списке отзыва (он там был включен), однако на практике, если доступ к этому списку ограничен, то браузеры не выдают явных предупреждений и доверяют сертификату.
Ссылки: 1) Пресс-релиз Comodo: www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html 2) Рекомендации по безопасности от MS: www.microsoft.com/technet/security/advisory/2524375.mspx 3) Детективная история о том, как в патчах Firefox были обнаружены «странные вещи» до официальной публикации результатов невнимательности Comodo: blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusion 4) О политической составляющей произошедшего: avva.livejournal.com/2321707.html Теги: #sieve #PKI #SSL #comodo интернет-безопасность #информационная безопасность
-
Играет Ли Удача В Розыгрыше Роль В Рамми?
19 Oct, 24 -
Любопытство На Полпути К Цели
19 Oct, 24 -
5 Правил Подготовки Макетов Веб-Страниц
19 Oct, 24 -
В. Часть 1: Фантазии Об Интернете Будущего
19 Oct, 24
