DigiNotar вышвыривают на мороз
2011-08-30 07:07 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
waqurПосле того, как центр сертификации DigiNotar по ошибке выдал иранским службам госбезопасности SSL-сертификат для домена *.google.com , что позволило последним перехватывать пароли к GMail и другим службам Google , Mozilla и Гугл рекомендуют удалить DigiNotar из доверенного корня (trusted root):
http://support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert
Обычно, доверенный корень есть в браузере, почтовом клиенте и вообще всех программах, которые могут выступать в качестве клиента протокола https. Например, во всех программах, которые используют библиотеку libcurl.
Кроме того, выпущены автообновления для браузеров.
http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html
Отмазки от DigiNotar никто не слушает, их просто вышвыривают вон из браузеров, включая все уже ранее выданные SSL-сертификаты.
Пользователи браузера Chrome не попались на удочку - вдобавок к доверенному корню, в браузер встроен белый список собственно сертификатов для доменов *.google.com , и если браузер видит различие между встроенным и фактически полученным сертификатом, то он говорит "мяу".
Всё это подымет в профессиональной среде очередную волну дискуссий о загаженности trusted root, о надёжности SSL/PKI и о возможных способах борьбы с MITM без опоры на PKI; например о внедрении некоторой формы непрерывности сессионных ключей или out-of-band сигналинга, как в ZRTP.
http://support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert
Обычно, доверенный корень есть в браузере, почтовом клиенте и вообще всех программах, которые могут выступать в качестве клиента протокола https. Например, во всех программах, которые используют библиотеку libcurl.
Кроме того, выпущены автообновления для браузеров.
http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html
Отмазки от DigiNotar никто не слушает, их просто вышвыривают вон из браузеров, включая все уже ранее выданные SSL-сертификаты.
Пользователи браузера Chrome не попались на удочку - вдобавок к доверенному корню, в браузер встроен белый список собственно сертификатов для доменов *.google.com , и если браузер видит различие между встроенным и фактически полученным сертификатом, то он говорит "мяу".
Всё это подымет в профессиональной среде очередную волну дискуссий о загаженности trusted root, о надёжности SSL/PKI и о возможных способах борьбы с MITM без опоры на PKI; например о внедрении некоторой формы непрерывности сессионных ключей или out-of-band сигналинга, как в ZRTP.
