25 Mar 2011


Разделы: Новости Интернет it

Comodo Group краски себя в качестве жертвы в случае захвата сертификатов SSL, утверждающих, что они обмануты правительством Ирана в выпускать электронные сертификаты, которые позволят режима страны к Snoop на своих граждан. Это только часть истории. Вся эта история включает в себя компании, которые просто не делать свою работу, предал наше доверие, и попытался оправдать свою некомпетентность, обвиняя больше злодея. Он также предоставляет системы "доверия", который зарекомендовал себя ненадежным.

Хотя пресса сосредоточена на сенсационный факт, что сайт Comodo, был взломан из иранских IP-адреса - и один из фиктивные сертификаты SSL была использована на иранский сайт в течение короткого периода времени - мы действительно должны задать три вопроса:

Как кто-то работает с иранскими IP-адреса получить имя пользователя и пароль от Comodo с достаточно места для создания SSL сертификатов? Почему Comodo SSL сертификаты вопрос для google.com, live.com, yahoo.com, mozilla.org, и Skype. COM? Разве это не кто-нибудь смотреть? Почему обновлений браузера используется для отозвать SSL сертификаты? Это нелепо.

Чтобы понять эти вопросы, вам нужно немного фона о том, как сертификаты работы. Когда вы идете на адрес HTTPS, Ваш браузер зашифровывает сообщение с сайта. Механики настройке соединения включают криптографии с открытым ключом; браузера и интернет-сайт для осуществления шифрования путем обмена открытыми ключами. Ваш браузер также должен определить, что открытый ключ он получает справедливо, что в случае свидетельства вступает в игру.

Сертификации выпускающая цифровые сертификаты, которые говорят, по сути, "Это открытый ключ принадлежащий корпорации XYZ" Если у вас в браузере на HTTPS: / / xyzcorp.com, веб-сайт посылает ваш браузер открытым ключом и сертификатом. Ваш браузер проверяет, что сертификат был выдан "проверенного" сертификационный орган, связанный с сайтом, который вы смотрите, и остается в силе. Она выполняет эту проверку, глядя, чтобы увидеть, если определенный сертификат на список отозванных сертификатов. Если все проходит проверку, ваш браузер использует открытый ключ для начала зашифрованные сессии с сайта HTTPS.

Сертификационный орган компании берут деньги для выдачи сертификатов, и веб-сайты применяют, чтобы получить сертификат. Между тем, браузеры поддерживают списки проверенных центров сертификации, которые могут работать несколько десятков компаний. Я надеюсь, - и вы доверяете - тех компаний, чтобы убедиться, что сертификат на сайте XYZ's получает выдается только XYZ Корпорация трех крупнейших сертификационных органов, VeriSign, GoDaddy, и Comodo.

Как Грегг Кейзер сообщил о Computerworld вчера, кто-то использовал действительное имя пользователя и пароль, чтобы войти в сертификата Comodo системы выдачи. Злоумышленник создать новую учетную запись и выпустила девять проверки запросов (называемые "запросы на подпись сертификата") подать заявку на сертификаты. Затем сертификаты были выданные Comodo для нарушителя для mail.google.com, login.live.com, www.google.com, login.yahoo.com (который получил три отдельных сертификатов), login.skype.com, и аддоны. mozilla.org, а также один не связан с конкретным URL, проверка "глобального попечителя". Есть никаких подробностей - по крайней мере ни я могу отследить - о том, как этому человеку удалось получить имя пользователя и пароль.

Однако большее беспокойство, я не могу найти никаких свидетельств того, что кто-то мониторинга выдачи сертификатов. Как на земле может Comodo вопрос SSL сертификат для mail.google.com, без кого-то, где-то удара в потолок?






Метки: it
Рубрики: Новости Интернет it

 Имя       

Ограничение в 1000 символов
Введите ваш комментарий

Введите код