Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Очередные “левые” SSL-сертификаты
Google сообщает, что 24 декабря они при помощи Chrome обнаружили в Сети очередной “левый” сертификат для *.google.com (дополнение: и не только для *.google.com, но и для множества других адресов гугловских сервисов). Сертификат был выпущен “промежуточным” удостоверяющим центром (УЦ), действовавшем от имени TURKTRUST (это известный признанный УЦ, его корень наверняка встроен и в ваш бразер).
Занимательно объяснение TURKTRUST, которое приводят в блоге Google:
“TURKTRUST told us that based on our information, they discovered that, in August 2011, they had mistakenly issued two intermediate CA certificates to organizations that should have instead received regular SSL certificates.”
(TURKTRUST сообщили нам, что, на основании нашей информации, они обнаружили, что в августе 2011 года ошибочно выпустили два сертификата промежуточных УЦ для организаций, которые должны были вместо этого получить рядовые SSL-сертификаты.)
То есть, ключи УЦ, позволяющие выпустить неотличимый от настоящего сертификат для любого домена, болтались где-то в пространстве больше года. Сейчас их случайно заметили. Оказалось – типа, техническая ошибка. Ну, бывает. Прекрасно работает современная инфраструктура SSL, не правда ли?
Адрес записки: https://dxdt.ru/2013/01/04/5443/
Похожие записки:
- "Блокирующие" источники случайности в операционных системах
- Port knocking как инструмент управления доступом к скрытым сервисам
- Общее представление о шифрах и бэкдоры
- Централизация обновлений и CrowdStrike
- Дальнейшее сокращение допустимого срока действия TLS-сертификатов
- Администрация США и мессенджеры
- Авария такси-робота в Калифорнии и новые риски
- URL и ссылки в письмах
- Подводные кабели и связность Интернета
- Техническое: стойкость ECDSA и SCT-метки
- Уровни Интернета и спагеттизация
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 4
1 <t> // 5th January 2013, 00:20 // Читатель shaplov.livejournal.com написал:
Да пипец… Надеюсь что с введением DNSSEC этот вид атаки постепенно уйдет в прошлое…
2 <t> // 5th January 2013, 01:32 // Читатель jno написал:
ну, ошибки-то бывают.
а вот то, что НИКТО и НИКАК за это не отвечает – плохо.
так называемые “издержки репутации” были хороши до 1974 года.
с тех пор мир сильно изменился…
3 <t> // 5th January 2013, 12:58 // Александр Венедюхин:
По крайней мере, TURKTRUST (у них уже проблемы с Mozilla) реагирует более или менее правильно: http://turktrust.com.tr/en/kamuoyu-aciklamasi-en.2.html
И, похоже, они, фактически, выпустили один сертификат промежуточного УЦ _специально_ для инспекции корпоративного трафика, а это случайно выплыло наружу.
4 <t> // 6th January 2013, 23:58 // Читатель jno написал:
ну, молодцы турки, что тут сказать.
но общей картины принципиальной безответственности это не меняет.