SSL DigiNotar – несколько штрихов в продолжение

Как интересно: оказывается, DigiNotar (удостоверяющий центр, чья система удостоверения была взломана) не уведомил Mozilla Foundation об инциденте, даже несмотря на то, что в рамках атаки на УЦ были выпущены фиктивные сертификаты для домена addons.mozilla.org. Вот такой вот уровень внедрения PKI и систем электронной подписи сейчас. Занятно, что, как пишут, тот же УЦ работает с правительством Голландии по какой-то там местной программе удостоверяющих центров. Это к вопросу об электронном правительстве.

Вообще, вокруг SSL сейчас поднимается заметная шумиха. Наверное, скоро последуют заявления о том, как всё это исправить и как, собственно, улучшить реализацию технологий. При том, что проблема в этот раз уже совсем не на стороне пользователей.

Адрес записки: https://dxdt.ru/2011/09/07/4067/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 8

  • 1 <t> // 7th September 2011, 22:41 // Читатель jno написал:

    Самопальные snake oil церты – рулят!
    Шифрование – работает, а остальное – от лукавого :)

  • 2 <t> // 8th September 2011, 00:12 // Читатель sashket написал:

    > Самопальные snake oil церты – рулят!

    Извиняюсь за тупой вопрос, а что это?

  • 3 <t> // 8th September 2011, 11:35 // Читатель jno написал:

    сертификат самоподписанный – у него в ЦА обычно та же контора, что и “удостоверяемвя”

  • 4 <t> // 8th September 2011, 13:13 // Александр Венедюхин:

    Главное – не использовать самоподписанный для https, теряется большая часть смысла. Нужно выпустить один сертификат для CA и уже им подписать сертификат для https, после чего сверять CA.

  • 5 <t> // 8th September 2011, 15:36 // Читатель jno написал:

    > не использовать самоподписанный для https

    может, процедура с двумя цертами и кошернее, но для прикрытия страниц регистрации и некоторых аналогичных, AFAIU, достаточно и одного.

    или я чего-то упускаю?

    просто я не очень верю в смысл атентификации при нынешнем раскладе. а в криптозащиту канала – вполне.

  • 6 <t> // 8th September 2011, 15:38 // Читатель jno написал:

    Блин, дислексия прогрессирует – буквы проускаю :(

  • 7 <t> // 8th September 2011, 16:30 // Александр Венедюхин:

    Самоподписанный сертификат не защищает от перехвата сессии и подмены. То есть, если человек только слушает канал, то, да, трафик шифрованный. Но если он может слушать, то, вероятно, может и подменить сайт (через DNS, например), и использовать собственный самоподписанный сертификат. Тогда и трафик раскрывается.

  • 8 <t> // 8th September 2011, 17:18 // Читатель jno написал:

    Ну, может, и так – это уже из разряда оценки угрозы.