SSL DigiNotar – несколько штрихов в продолжение
Как интересно: оказывается, DigiNotar (удостоверяющий центр, чья система удостоверения была взломана) не уведомил Mozilla Foundation об инциденте, даже несмотря на то, что в рамках атаки на УЦ были выпущены фиктивные сертификаты для домена addons.mozilla.org. Вот такой вот уровень внедрения PKI и систем электронной подписи сейчас. Занятно, что, как пишут, тот же УЦ работает с правительством Голландии по какой-то там местной программе удостоверяющих центров. Это к вопросу об электронном правительстве.
Вообще, вокруг SSL сейчас поднимается заметная шумиха. Наверное, скоро последуют заявления о том, как всё это исправить и как, собственно, улучшить реализацию технологий. При том, что проблема в этот раз уже совсем не на стороне пользователей.
Адрес записки: https://dxdt.ru/2011/09/07/4067/
Похожие записки:
- Сервис проверки настроек веб-узлов
- Имена в TLS для веба (HTTP/HTTPS)
- Постквантовые криптосистемы на экспериментальном сервере TLS
- Реплика: интерпретация результатов интернет-измерений
- Новый сайт Gramota.ru
- Закладки в системах с машинным обучением
- DNS-over-HTTPS в браузере Firefox, блокировки и будущее Сети
- Starlink и взаимодействие с наземными GSM-сетями
- Рассылка SMS и распределённые сети под управлением Telegram
- Ретроспектива заметок: сентябрь 2013 года
- Секретные ключи в трафике и симметричные шифры
Комментарии читателей блога: 8
1. 7th September 2011, 22:41 // Читатель jno написал:
Самопальные snake oil церты – рулят!
Шифрование – работает, а остальное – от лукавого :)
2. 8th September 2011, 00:12 // Читатель sashket написал:
> Самопальные snake oil церты – рулят!
Извиняюсь за тупой вопрос, а что это?
3. 8th September 2011, 11:35 // Читатель jno написал:
сертификат самоподписанный – у него в ЦА обычно та же контора, что и “удостоверяемвя”
4. 8th September 2011, 13:13 // Александр Венедюхин:
Главное – не использовать самоподписанный для https, теряется большая часть смысла. Нужно выпустить один сертификат для CA и уже им подписать сертификат для https, после чего сверять CA.
5. 8th September 2011, 15:36 // Читатель jno написал:
> не использовать самоподписанный для https
может, процедура с двумя цертами и кошернее, но для прикрытия страниц регистрации и некоторых аналогичных, AFAIU, достаточно и одного.
или я чего-то упускаю?
просто я не очень верю в смысл атентификации при нынешнем раскладе. а в криптозащиту канала – вполне.
6. 8th September 2011, 15:38 // Читатель jno написал:
Блин, дислексия прогрессирует – буквы проускаю :(
7. 8th September 2011, 16:30 // Александр Венедюхин:
Самоподписанный сертификат не защищает от перехвата сессии и подмены. То есть, если человек только слушает канал, то, да, трафик шифрованный. Но если он может слушать, то, вероятно, может и подменить сайт (через DNS, например), и использовать собственный самоподписанный сертификат. Тогда и трафик раскрывается.
8. 8th September 2011, 17:18 // Читатель jno написал:
Ну, может, и так – это уже из разряда оценки угрозы.