SSL DigiNotar – несколько штрихов в продолжение
Как интересно: оказывается, DigiNotar (удостоверяющий центр, чья система удостоверения была взломана) не уведомил Mozilla Foundation об инциденте, даже несмотря на то, что в рамках атаки на УЦ были выпущены фиктивные сертификаты для домена addons.mozilla.org. Вот такой вот уровень внедрения PKI и систем электронной подписи сейчас. Занятно, что, как пишут, тот же УЦ работает с правительством Голландии по какой-то там местной программе удостоверяющих центров. Это к вопросу об электронном правительстве.
Вообще, вокруг SSL сейчас поднимается заметная шумиха. Наверное, скоро последуют заявления о том, как всё это исправить и как, собственно, улучшить реализацию технологий. При том, что проблема в этот раз уже совсем не на стороне пользователей.
Адрес записки: https://dxdt.ru/2011/09/07/4067/
Похожие записки:
- DNSSEC и DoS-атаки
- Реплика: перенос доменных имён и GoDaddy
- LLM и "Яндекс.Поиск"
- Техническое: Google Public DNS и DNSSEC
- Десятилетие DNSSEC в российских доменах
- Письмо про приостановку разработки ИИ
- Стандарты NIST для "постквантовых" криптосистем
- IP-адреса и октеты
- Описание DoS-атаки с HTTP/2 от Cloudflare
- Бывшая "Яндекс.Почта"
- Ссылки: Telegram и его защищённость
Комментарии читателей блога: 8
1 <t> // 7th September 2011, 22:41 // Читатель jno написал:
Самопальные snake oil церты – рулят!
Шифрование – работает, а остальное – от лукавого :)
2 <t> // 8th September 2011, 00:12 // Читатель sashket написал:
> Самопальные snake oil церты – рулят!
Извиняюсь за тупой вопрос, а что это?
3 <t> // 8th September 2011, 11:35 // Читатель jno написал:
сертификат самоподписанный – у него в ЦА обычно та же контора, что и “удостоверяемвя”
4 <t> // 8th September 2011, 13:13 // Александр Венедюхин:
Главное – не использовать самоподписанный для https, теряется большая часть смысла. Нужно выпустить один сертификат для CA и уже им подписать сертификат для https, после чего сверять CA.
5 <t> // 8th September 2011, 15:36 // Читатель jno написал:
> не использовать самоподписанный для https
может, процедура с двумя цертами и кошернее, но для прикрытия страниц регистрации и некоторых аналогичных, AFAIU, достаточно и одного.
или я чего-то упускаю?
просто я не очень верю в смысл атентификации при нынешнем раскладе. а в криптозащиту канала – вполне.
6 <t> // 8th September 2011, 15:38 // Читатель jno написал:
Блин, дислексия прогрессирует – буквы проускаю :(
7 <t> // 8th September 2011, 16:30 // Александр Венедюхин:
Самоподписанный сертификат не защищает от перехвата сессии и подмены. То есть, если человек только слушает канал, то, да, трафик шифрованный. Но если он может слушать, то, вероятно, может и подменить сайт (через DNS, например), и использовать собственный самоподписанный сертификат. Тогда и трафик раскрывается.
8 <t> // 8th September 2011, 17:18 // Читатель jno написал:
Ну, может, и так – это уже из разряда оценки угрозы.