Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Symantec и “кривые” сертификаты
Очередной раз попались выпущенные Symantec TLS-сертификаты для доменов, администраторы которых эти сертификаты не запрашивали (*.example.com, test.com и пр.) Как уточняет Symantec – сертификаты выпустила одна из компаний-партнёров, и это были тестовые сертификаты. То, что они тестовые – вполне очевидно из состава полей, но при этом сертификаты валидные. Сертификаты были выпущены в 2015 и 2016 годах, сейчас те, что обнаружились, отозваны.
Конечно, считается, что тестовые сертификаты не должны покидать пределы тестового окружения, кроме того, их рекомендуется выпускать с ограничениями, а не для произвольных имён. Система “тестирования”, которая позволяет через партнёрский интерфейс выпустить сертификат для любого домена – выглядит довольно подозрительно, потому что очередной раз подтверждает наличие у удостоверяющего центра внешнего API, пригодного для быстрого выпуска валидных сертификатов для любых доменов, без ведома администраторов этих доменов. Такие сертификаты полезны для использования в перехватывающих TLS прокси.
Адрес записки: https://dxdt.ru/2017/01/23/8254/
Похожие записки:
- Интерпретация DMARC в разрезе DKIM
- Starlink и орбитальный доступ для смартфонов
- Обобщение "хендшейков" и сокращение этапов согласования
- DeepSeek с неработающей регистрацией
- Нобелевская премия по физике и нейросети
- Смартфон-шпион: восемь лет спустя
- ИИ с превышением
- Реплика: перемешивающие сети Google и фильтрация
- Реплика: пример про ДСЧ
- Квантовые компьютеры, АНБ и битовые строки
- Архитектурные различия DNSSEC, DNS-over-TLS, HTTP-over-TLS
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 4
1 <t> // 23rd January 2017, 23:07 // Читатель Z.T. написал:
Линк получше: https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg05455.html
там есть ответ от Symantec (мол, не мы, наш партнер, который прошел аудит и должен был знать что так нельзя, мы их ограничили и расследование продолжается).
Вот страшилка про субординативные УЦ под Verizon и как новые хозяева УЦ Verizon искали кому был продан суб-УЦ и объясняли операторам этих суб-УЦ что можно, что нельзя и что они обязаны делать: https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/tHUcqnWPt3o
2 <t> // 23rd January 2017, 23:09 // Читатель Z.T. написал:
лучше второй линк:
https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg04874.html
3 <t> // 27th January 2017, 05:06 // Читатель Z.T. написал:
@Александр Венедюхин
Chrome записали dxdt.ru в список доменов которым разрешено пользоваться сертификатом от WoSign, потому что сертификат был не отменен а сайт в списке Alexa Top 1M.
Написано что можно будет стереть сайт из списка, но не написано как.
https://chromium.googlesource.com/chromium/src.git/+/a4912183cbef2f2e76654467db74cf7d79b5052e%5E%21/
https://bugs.chromium.org/p/chromium/issues/detail?id=685826
4 <t> // 27th January 2017, 11:59 // Александр Венедюхин:
> Chrome записали dxdt.ru в список доменов которым разрешено пользоваться сертификатом от WoSign
Занятно. Пусть будет. (Удалить, видимо, можно, отозвав сертификат. Но думаю, что этого делать не нужно.)