Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 55
Где на F-Secure написано «украден»?
А в MacOS X оказалось невозможным отозвать сертификаты DigiNotar из за ошибок в коде ОС.
www.computerworld.com/s/article/9219669/Mac_OS_X_can_t_properly_revoke_dodgy_digital_certificates
Так что будьте осторожны.
www.computerworld.com/s/article/9219669/Mac_OS_X_can_t_properly_revoke_dodgy_digital_certificates
Так что будьте осторожны.
«Because the extent of the mis-issuance is not clear, we are releasing new versions of Firefox for desktop (3.6.21, 6.0.1, 7, 8, and 9) and mobile (6.0.1, 7, 8, and 9), Thunderbird (3.1.13, and 6.0.1) and SeaMonkey (2.3.2)»
Вообщето еще не выпустили — только готовятся.
Вообщето еще не выпустили — только готовятся.
гугловские сертификаты от Verisign, украли НЕ закрытый ключ гугла — сделали свой с таким именем
[conspiracymode=«On»]
Это гугл спровоцировал утечку, чтобы потом показать, что: «Пользователям Google Chrome ничего не угрожает так как он проверяет валидность сертификатов онлайн.»
Огнелису еще обновляться нужно, а пользователи Хрома уже вне опасности.
[conspiracymode=«Off»]
Это гугл спровоцировал утечку, чтобы потом показать, что: «Пользователям Google Chrome ничего не угрожает так как он проверяет валидность сертификатов онлайн.»
Огнелису еще обновляться нужно, а пользователи Хрома уже вне опасности.
[conspiracymode=«Off»]
Говорят «предпринята попытка перенаправления трафика иранских пользователей Google». Сейчас кто нибудь напишет что они выключили центрифуги для производства плутония и включили числодробилки для производства сертификатов.
Шутки шутками, однако, как пишет в комментарии к пресс-релизу Mozilla иранский пользователь:
Thank you guys for taking care of us :)«Для вас, ребята, поддельный сертификат означает украденный пароль или личную инфу. Для меня же и тысяч других иранцев, он влечет тюрьму, пытки и даже смертный приговор.»
…
For you guys, a fake certificate means a stolen password or personal information. For me and thousands of other Iranians, it leads to jail, torture or even death sentence.
а можно тут подробнее? многие, как и я только догадываются почему «jail, torture or even death sentence». хочется конкретики
хочу знать все(с) :)
хочу знать все(с) :)
много будешь знать скоро состаришься
Вы правда не знаете?
В Иране, как и во многих других странах, жестко подавляется оппозиция. С помощью тюрем, пыток и смертных приговоров. Сторонники оппозиции, да и просто недовольные властью для свободного общения используют разные сервисы, защищенные от перехвата трафика протоколом SSL. В том числе и сервисы Гугла. Наличие поддельного сертификата позволит реализовать MITM атаку в национальном масштабе, просматривать переписку пользователей и таким образом находить недовольных.
В Тунисе перед революцией происходило нечто подобное. И если в той сиутации использование исключительно HTTPS могло помочь, то в данном случае не только не помогло бы, но и перехват оставался бы незаметным для пользователей.
«Всегда используйте HTTPS и расширение Certificate Patrol, и ваша защита будет оставаться надежной 24 часа в сутки».
В Иране, как и во многих других странах, жестко подавляется оппозиция. С помощью тюрем, пыток и смертных приговоров. Сторонники оппозиции, да и просто недовольные властью для свободного общения используют разные сервисы, защищенные от перехвата трафика протоколом SSL. В том числе и сервисы Гугла. Наличие поддельного сертификата позволит реализовать MITM атаку в национальном масштабе, просматривать переписку пользователей и таким образом находить недовольных.
В Тунисе перед революцией происходило нечто подобное. И если в той сиутации использование исключительно HTTPS могло помочь, то в данном случае не только не помогло бы, но и перехват оставался бы незаметным для пользователей.
«Всегда используйте HTTPS и расширение Certificate Patrol, и ваша защита будет оставаться надежной 24 часа в сутки».
Grammar nazi: "или даже"
Это что, в лисе все эти сертификатные фишечки хардкодед, что ли? Зачем?
Во всех браузерах списки CA (Certificate Authority) захардкожены. В этом и вся суть CA.
Нет, просто видимо Firefox не проверяет сертификат каждого сайта не предмет его отзыва. Но вы можете свободно удалить сертификат любого центра сертификации из своего Firefox-а.
Удалить-то могу, но почему тогда то же самое нельзя сделать централизованно из какого-нибудь специального центра обновления информации о сертификатах? И что за исходники, ссылку на которые дал gribozavr выше? Тогда я не понимаю, зачем менять какой-то код из-за одного сертификата.
Хотя, возможно, Mozilla держит подсистему управления сертификатами в виде отдельных библиотек, где уже все и захардкожено независимо от остального Firefox'а, а в обновлении пришлют новую библиотеку. Хотя все равно неясно, к чему такие сложности.
Извините, что наваливаюсь с вопросами, но мне правда непонятно и интересно.
Хотя, возможно, Mozilla держит подсистему управления сертификатами в виде отдельных библиотек, где уже все и захардкожено независимо от остального Firefox'а, а в обновлении пришлют новую библиотеку. Хотя все равно неясно, к чему такие сложности.
Извините, что наваливаюсь с вопросами, но мне правда непонятно и интересно.
Вероятно, потому, что подделав этот «специальный центр обновления информации о сертификатах», с браузером пользователя можно будет творить все что угодно.
Корневые сертификаты доверенных СА обычно вбиты и обновляются с апдейтом браузера.
Пользовательские сертификаты, если есть связь с CA, проверяются на наличие в списке отозванных (CRL, revocation list).
Корневые сертификаты доверенных СА обычно вбиты и обновляются с апдейтом браузера.
Пользовательские сертификаты, если есть связь с CA, проверяются на наличие в списке отозванных (CRL, revocation list).
Нынешняя система с SSL сертификатами никуда не годится, так как этим занимаются частные компании — а их сотрудники могут быть подкуплены, запуганы, атакованы, вовлечены в заблуждение, установлены трояны (многие до сих пор ведь пользуются виндоус, а ее протроянит даже школьник) и т.д. Надо либо доверить все сертификаты надежному правительству типа США (российскому я бы не доверил), либо сделать уже какую-нибудь p2p сеть типа Bitcoin для хранения данныз сертификатов.
И да, надесь этих мерзких иранских шпионов поймают и отправят в Гуантанамо. Отрицательно отношусь к тем, кто свои грязные и испачканные в крови руки тянет к интернету.
И да, надесь этих мерзких иранских шпионов поймают и отправят в Гуантанамо. Отрицательно отношусь к тем, кто свои грязные и испачканные в крови руки тянет к интернету.
В гос. организациях вообще-то есть строгие регламенты, отбор сотрудников и уголовная ответственность. А частная компания может творить что хочет, и ничего ей за это не будет. У ФСБ почему-то никто сертификаты не ворует (можете рискнуть попробовать запугать или атаковать их сотрудников), а у этой компании полный дыр сервер и хоть бы хны. Как им вообще можно доверять?
>Надо либо доверить все сертификаты надежному правительству типа США (российскому я бы не доверил)
>И да, надесь этих мерзких иранских шпионов поймают и отправят в Гуантанамо. Отрицательно отношусь к тем,
>кто свои грязные и испачканные в крови руки тянет к интернету.
Одна из напрашивающихся версий — это «надёжное правительство» организовало атаку «человек посередине» против Ирана. Атака замечена, компания, бизнес которой был почти не связан с продажей сертификатов, бизнес этот скорее всего потеряла (100.000 долларов в год). В чистом остатке — владея корневым сертификатом, прошитым в браузеры, можно подделывать любые сертификаты, потеряв сравнительно небольшую сумму, и просматривать зашифрованный интернет трафик, переправлять любые запросы на свои сервера, работать с банковскими данными — то есть фактически делать что угодно.
И что с этим делать непонятно, так как единственно приемлемое решение — повесить все работы по выдаче и поддержанию сертификатов на производителей браузеров — вряд ли практически реализуемо без создания сети посредников, такой же как есть сейчас.
>И да, надесь этих мерзких иранских шпионов поймают и отправят в Гуантанамо. Отрицательно отношусь к тем,
>кто свои грязные и испачканные в крови руки тянет к интернету.
Одна из напрашивающихся версий — это «надёжное правительство» организовало атаку «человек посередине» против Ирана. Атака замечена, компания, бизнес которой был почти не связан с продажей сертификатов, бизнес этот скорее всего потеряла (100.000 долларов в год). В чистом остатке — владея корневым сертификатом, прошитым в браузеры, можно подделывать любые сертификаты, потеряв сравнительно небольшую сумму, и просматривать зашифрованный интернет трафик, переправлять любые запросы на свои сервера, работать с банковскими данными — то есть фактически делать что угодно.
И что с этим делать непонятно, так как единственно приемлемое решение — повесить все работы по выдаче и поддержанию сертификатов на производителей браузеров — вряд ли практически реализуемо без создания сети посредников, такой же как есть сейчас.
В Firefox можно включить проверку по OCSP в настройках.
Не поможет. подробнее тут — www.opennet.ru/opennews/art.shtml?num=31635
Фигасебе, «ошибочка».
Они теперь сертификационный центр, который заблеклистили ИЕ, ФФ и хром. Ребятам пора искать себе новое место работы.
Странно но в Опере нет DigiNotar. Или его удалили уже?
И в Хроме нет и даже в IE 7 нету, только FF его еще имеет
И в Хроме нет и даже в IE 7 нету, только FF его еще имеет
В Opera отозванные сертификаты блокируют сразу. Сегодня в блоге безопасности Opera была запись на эту тему: my.opera.com/securitygroup/blog/2011/08/30/when-certificate-authorities-are-hacked-2
Кто же виноват?
Правильная ссылка на ручное удаление сертификата в Firefox: support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert
Правда в комментах жалуются, что не работает.
Правда в комментах жалуются, что не работает.
Подскажите, почему в хроме у меня вот такое на многих сайтах?
вебмастера сайта не учли нюансы включенных сертификатов ЦС в мак осе / возможно другой ОС, которую вы используете
Сотрудники устанавливающие сертификат, скорее всего, не установили промежуточные сертификаты или используют самоподписанный сертификат.
Самый правильный выход в этой ситуации (если Вы уверены, что попали на нужный сайт), сообщить владельцам ресурса об этой ошибки.
Самый правильный выход в этой ситуации (если Вы уверены, что попали на нужный сайт), сообщить владельцам ресурса об этой ошибки.
Сертификат валиден, что-то не так именно с MAC-версией хрома.
Пришло обновление в убунте
* SECURITY UPDATE: Blacklist «DigiNotar Root CA» due to fraudulent certificate issuance
* SECURITY UPDATE: Blacklist «DigiNotar Root CA» due to fraudulent certificate issuance
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Подделаны SSL сертификаты для домена .google.com