форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor"	+/–
Сообщение от opennews (??) on 01-Сен-11, 11:06
История (https://www.opennet.ru/opennews/art.shtml?num=31635) с генерацией обманного SSL-сертификата для сервисов Google получила продолжение (http://www.theregister.co.uk/2011/08/31/more_site_certificat.../). Несмотря на то, что список доменов, фигурирующих в отозванных сертификатах по прежнему держится в секрете, известно, что черный список в последнем выпуске Chrome увеличился на 247 записей. Представители проекта Mozilla сообщили, что с ними в частном порядке связались представители DigiNotar и сообщили о факте генерации обманного сертификата для домена addons.mozilla.org. Также появились (http://www.nu.nl/internet/2603449/mogelijk-nepsoftware-versp...) официально неподтвержденные сведения о том, что обманные сертификаты DigiNotar также были сгенерированы для Yahoo.com, Tor.com и иранского блог-сервиса Baladin. Обманные сертификаты были созданы 10 июля, а отозваны несколько дней назад. URL: http://www.theregister.co.uk/2011/08/31/more_site_certificat.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=31652
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+1 +/–
Сообщение от Аноним (??) on 01-Сен-11, 11:06
а где-нибудь написаны причины, по которым этот дигидонор выпустил левые серты?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Макс (??) on 01-Сен-11, 11:26
	см. вчерашние новости
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Аноним (??) on 01-Сен-11, 11:41
	ага, там дополнение появилось, спасибо.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Одмин on 01-Сен-11, 13:05
	там даты не сходятся. Как могли взломать 19-го июля если сертификат выдан 10-го? В общем, пока всё мутно
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	9. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от ЮзверЪ on 01-Сен-11, 13:27
	"Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля..." - а сколько они там на самом деле паслись, никто кроме взломщиков не знает.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	13. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от solardiz (ok) on 01-Сен-11, 15:34
	По данным F-Secure, не устраненные до этих дней следы взломов сайта DigiNotar начинаются как минимум с мая 2009: http://www.f-secure.com/weblog/archives/00002228.html Еще любопытно, что за всю свою историю они выпустили лишь небольшое количество сертификатов - как минимум 701 - вероятно, больше этого числа, но не сильно: http://lists.randombit.net/pipermail/cryptography/2011-Augus...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	33. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Аноним (??) on 01-Сен-11, 20:11
	после взлома могли любую дату выставить при генерации. Это ж всего чиселко, и проверяется оно в софте.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	4. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Аноним (??) on 01-Сен-11, 11:41
	В соседней новости, они утверждают что их взломали: Появилась информация, что обманный сертификат был получен в результате взлома инфраструктуры удостоверяющего центра DigiNotar. Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля, в результате чего атакующим удалось сгенерировать поддельные сертификаты
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	18. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+7 +/–
	Сообщение от Аноним (??) on 01-Сен-11, 16:15
	Они еще и не хотят публиковать список расхаканого: > список доменов, фигурирующих в отозванных сертификатах по прежнему держится в секрете За такой подход они получают НЕпочетное звание UNtrusted authority. За такое надо пожизненный вынос корневого сертификата такой ауторити выписывать. Пусть идут рассаду выращивать, может лучше получаться будет.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+2 +/–
Сообщение от Nicknnn (ok) on 01-Сен-11, 12:09
dpkg-reconfigure ca-certificates и снять галочку с DigiNotar теперь при заходе на сайт сразу будет видно, если там подделка (для известных сайтов). Для других сайтов будет повод насторожиться.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Denisiuk (ok) on 01-Сен-11, 15:57
	Спасибо, так и сделал, был один мозилловский.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	29. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+1 +/–
	Сообщение от edo (ok) on 01-Сен-11, 18:45
	а firefox (iceweasel) разве не свои списки доверенных CA держит?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	31. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Nicknnn (ok) on 01-Сен-11, 19:43
	Да похоже вы правы. Он таскает с собою собственный набор. Занчит нужно удалить там его вручную. Отмена доверия через dpkg действует только на приложения, которые используют системные настройки. А таких большинство.
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	41. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от zazik (ok) on 05-Сен-11, 13:13
	> Да похоже вы правы. Он таскает с собою собственный набор. Занчит нужно > удалить там его вручную. > Отмена доверия через dpkg действует только на приложения, которые используют системные > настройки. А таких большинство. У меня не удаляется, почему-то. Точнее, удаляется, но потом снова появляется. ФФ, винда.
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

6. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+2 +/–
Сообщение от bircoph (ok) on 01-Сен-11, 12:17
Удалил их CA из своих систем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Denisiuk (ok) on 01-Сен-11, 16:04
	У них на сайте есть изображение, которое прекрасно иллюстрирует их работу http://www.diginotar.com/Portals/0/Skins/DigiNotar_V7_COM/im...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	19. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Аноним (??) on 01-Сен-11, 16:18
	> У них на сайте есть изображение, которое прекрасно иллюстрирует их работу Блондинки рулят CA? Куда катится этот мир? oO
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	23. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Denisiuk (ok) on 01-Сен-11, 17:19
	> Блондинки рулят CA? Куда катится этот мир? oO гг, я про человека посередине(сзади) ;)
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

7. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	–4 +/–
Сообщение от фьщьшт on 01-Сен-11, 12:39
Какие нафиг сертификаты? Уже в куки страшно заглядывать, откуда там все это есть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	20. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Аноним (??) on 01-Сен-11, 16:19
	> Какие нафиг сертификаты? Уже в куки страшно заглядывать, откуда там все это есть. С серверов на которые вы заходили //Капитан
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+4 +/–
Сообщение от Аноним (??) on 01-Сен-11, 13:56
Брюс Шнайер предупреждал, что эта хрень с деревьями доверия - полная шняга. Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован. Кушайте с булочкой, ваш X509v3.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+2 +/–
	Сообщение от bircoph (ok) on 01-Сен-11, 15:01
	> Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован. Системы доверия, основанной на данном CA. > Кушайте с булочкой, ваш X509v3. Проблема в том, что других альтернатив нет. Какую бы систему идентификации хоста вы не строили, всегда нужна будет либо передача некоторой информации по абсолютно доверяемому каналу (например, ключа), либо доверие к 3-й стороне (или сторонам), подтверждающим, что хост — это тот, за кого себя выдаёт. Пожалуй, единственное улучшение (и усложнение), которое можно сделать — это требовать сертификациями сразу несколькими доверяемыми CA (минимум трое) и блокировка при наличии проблем с хотя бы одной подписью.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+1 +/–
	Сообщение от brother anon on 01-Сен-11, 15:16
	> Системы доверия, основанной на данном CA. Проблема в том, что система в равной степени доверяет всем CA, если сломать хотя бы один то безопасность под угрозой.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от bircoph (ok) on 01-Сен-11, 15:57
	Ваши предложения в студию.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	21. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Аноним (??) on 01-Сен-11, 16:22
	> Ваши предложения в студию. Выделить особо доверяемых которые вскоре оборзеют от привилегированного положения и превратятся в диктаторов-уродов наподобии верисайна, только еще в пять раз хуже.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	25. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от bircoph (ok) on 01-Сен-11, 17:42
	Взламают особо доверяемых. Дальше что? Не существует невзламываемых систем — ломается всё, вопрос в том, за какие деньги. Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё. А вот если будет много центров сертификации (скажем так, тысячи) и будет требование множественной подписи разными CA, при котором проблемы хоть с одной делают сертификат не действительным — это будет надёжнее. Можно ещё веса присваивать разным CA, но это уже более тонкий вопрос.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	27. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Аноним (??) on 01-Сен-11, 17:57
	> Взламают особо доверяемых. Дальше что? > Не существует невзламываемых систем — ломается всё, вопрос в том, за какие > деньги. > Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё. > А вот если будет много центров сертификации (скажем так, тысячи) и > будет требование множественной подписи разными CA, при котором проблемы хоть с > одной делают сертификат не действительным — это будет надёжнее. Можно ещё > веса присваивать разным CA, но это уже более тонкий вопрос. Это все уже было. Как раз так система сейчас и действует (ну только без весов). И что - те же яйца предлагаешь сделать, только вид сбоку? Видишь ли, дорогой друг, доверие, как и свежесть, не бывает разных весовых степеней. Оно либо есть - либо нет. Компрене?
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	32. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от bircoph (ok) on 01-Сен-11, 20:00
	> Это все уже было. Как раз так система сейчас и действует (ну только без весов). И что - те же яйца предлагаешь сделать, только вид сбоку? Почитай-ка мой пост ещё раз, аноним. Ты сейчас говоришь об унитарной системе доверия, где доверие конкретного сертификата основывается на одном единственном CA. Я же говорю о мажоритарной системе, в которой для отмены доверия достаточного одного голоса против. > Видишь ли, дорогой друг, доверие, как и свежесть, не бывает разных весовых степеней. Почитай-ка про Web of Trust что ли, ещё как бывают и применяются.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	38. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Аноним (??) on 02-Сен-11, 19:44
	> Взламают особо доверяемых. Дальше что? Я так и знал что необходим тег <sarcasm>. К сожалению, он отсутствует в стандарте HTML5 :( > Не существует невзламываемых систем — ломается всё, вопрос в том, за какие деньги. Конечно! Универсальный способ: покупаем компанию - и все, мы их взломали! > Кроме того, таких систем будет не много, значит будет легко скомпрометировать всё. > А вот если будет много центров сертификации (скажем так, тысячи) и > будет требование множественной подписи разными CA, при котором проблемы хоть с > одной делают сертификат не действительным — это будет надёжнее. Можно ещё > веса присваивать разным CA, но это уже более тонкий вопрос. Ну вот это выглядит более реалистично. Правда, опять же, риск что сломают несколько из - не отменяет, но вероятность что этого хватит для успешной подделки сертификата и правда понижает.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	28. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Аноним (??) on 01-Сен-11, 17:59
	>> Достаточно скомпрометировать ОДИН корневой СА - и ПОЛНЫЙ коллапс системы доверия гарантирован. > Системы доверия, основанной на данном CA. >> Кушайте с булочкой, ваш X509v3. > Проблема в том, что других альтернатив нет. Какую бы систему идентификации хоста > вы не строили, всегда нужна будет либо передача некоторой информации по > абсолютно доверяемому каналу (например, ключа), либо доверие к 3-й стороне (или > сторонам), подтверждающим, что хост — это тот, за кого себя выдаёт. > Пожалуй, единственное улучшение (и усложнение), которое можно сделать — это требовать > сертификациями сразу несколькими доверяемыми CA (минимум трое) и блокировка при наличии > проблем с хотя бы одной подписью. Алгоритм присяжных? Это и в жизни-то не работает. В реальном суде присяжных. Особое мнение одного присяжного мешало хоть кого-то посадить? А тут начнутся - я зуб даю! - усложнения в виде мажоритарного алгоритма, весовых коэффициентов степеней доверия и тому подобное. Что приведет только к эскалации проблемы.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+1 +/–
Сообщение от Zenitur (ok) on 01-Сен-11, 17:24
tor.com? Вроде правильно tor.org!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
Сообщение от Ононим on 02-Сен-11, 05:45
Зашел сейчас на gosuslugi.ru, а там сертификат истек. Вот думаю можно ли доверять после этого этому сайту. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	37. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Аноним (??) on 02-Сен-11, 19:39
	> Зашел сейчас на gosuslugi.ru, а там сертификат истек. Вот думаю можно ли > доверять после этого этому сайту. :) Отечественным чиновничьим сайтам вообще доверять не стоит. Особенно - персональные данные. Так как это фуфло зачастую наполовину писалось методом откатов и распилов, по знакомству/блату. Ну так, глядя на количество фэйлов на страницу сайта. А то опять будете потом бухтеть - ой, а чойта в ларьке продается диск с БД "все пользователи сайта госуслуги - 2011"?!
	Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

35. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
Сообщение от Аноним (??) on 02-Сен-11, 09:10
Чую в этом руку NSA...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
Сообщение от Аноним (??) on 03-Сен-11, 08:45
долить что ли бензина в огонек ?:) https://www.diginotar.nl/Portals/0/Extrance.txt Отвечает самый что не наесть Windows Server с IIS....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	40. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
	Сообщение от Anonym on 05-Сен-11, 00:53
	> долить что ли бензина в огонек ?:) > https://www.diginotar.nl/Portals/0/Extrance.txt > Отвечает самый что не наесть Windows Server с IIS.... Сертификат безопасности сайта не является доверенным!
	Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и ..."	+/–
Сообщение от Аноним (??) on 05-Сен-11, 22:27
ну собственно и за что люди им деньги платят ? надо наплодить как хостингов, за рубль на 50 лет сертификатами банчить и будет все ок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема