Очередные “левые” SSL-сертификаты
Google сообщает, что 24 декабря они при помощи Chrome обнаружили в Сети очередной “левый” сертификат для *.google.com (дополнение: и не только для *.google.com, но и для множества других адресов гугловских сервисов). Сертификат был выпущен “промежуточным” удостоверяющим центром (УЦ), действовавшем от имени TURKTRUST (это известный признанный УЦ, его корень наверняка встроен и в ваш бразер).
Занимательно объяснение TURKTRUST, которое приводят в блоге Google:
“TURKTRUST told us that based on our information, they discovered that, in August 2011, they had mistakenly issued two intermediate CA certificates to organizations that should have instead received regular SSL certificates.”
(TURKTRUST сообщили нам, что, на основании нашей информации, они обнаружили, что в августе 2011 года ошибочно выпустили два сертификата промежуточных УЦ для организаций, которые должны были вместо этого получить рядовые SSL-сертификаты.)
То есть, ключи УЦ, позволяющие выпустить неотличимый от настоящего сертификат для любого домена, болтались где-то в пространстве больше года. Сейчас их случайно заметили. Оказалось – типа, техническая ошибка. Ну, бывает. Прекрасно работает современная инфраструктура SSL, не правда ли?
Адрес записки: https://dxdt.ru/2013/01/04/5443/
Похожие записки:
- Постквантовый мир прикладной криптографии
- Статья: DNS в качестве инструмента публикации вспомогательной информации
- Реплика: перемешивающие сети Google и фильтрация
- Техническое: ключи DNSSEC и их теги
- Ретроспектива заметок: ключ по фотографии
- Ссылка: bluetooth-атака на iOS
- "Случайные пакеты" как транспорт
- Сервис для просмотра логов Certificate Transparency
- DNSSEC и DoS-атаки
- Сообщения и приложения-мессенджеры
- DNS-over-TLS на авторитативных серверах DNS
Комментарии читателей блога: 4
1. 5th January 2013, 00:20 // Читатель shaplov.livejournal.com написал:
Да пипец… Надеюсь что с введением DNSSEC этот вид атаки постепенно уйдет в прошлое…
2. 5th January 2013, 01:32 // Читатель jno написал:
ну, ошибки-то бывают.
а вот то, что НИКТО и НИКАК за это не отвечает – плохо.
так называемые “издержки репутации” были хороши до 1974 года.
с тех пор мир сильно изменился…
3. 5th January 2013, 12:58 // Александр Венедюхин:
По крайней мере, TURKTRUST (у них уже проблемы с Mozilla) реагирует более или менее правильно: http://turktrust.com.tr/en/kamuoyu-aciklamasi-en.2.html
И, похоже, они, фактически, выпустили один сертификат промежуточного УЦ _специально_ для инспекции корпоративного трафика, а это случайно выплыло наружу.
4. 6th January 2013, 23:58 // Читатель jno написал:
ну, молодцы турки, что тут сказать.
но общей картины принципиальной безответственности это не меняет.