Pull to refresh

Trustwave признает выдачу корневого сертификата сторонней компании

Information Security *
Источники: статья на ComputerWorld и пост на lwn.net

Вкратце, суть статьи. Trustwave признает выдачу корневого сертификата (subordinate root) сторонней компании. Это означает, что компания рога-и-копыта лтд. может, при наличии такого сертификата, подписать что угодно, уже без обращения к центру сертификации. Например, такой сертификат может быть использован для man-in-middle атак, которые пользователь просто не сможет отследить.

Особенно радует следующая цитата: «В свою защиту Trustwave говорит, что выдача корневого сертификата сторонней компании для анализа SSL-трафика внутренней сети компании — это обычная практика».


К чему это может нас привести.

1. Trustwave может быть убран из доверенных корневых сертификатов. Печально, что при этом пострадают ни в чем не повинные компании, купившие у них сертификат на свои домены.

2. В перспективе это может быть раздуто в большой скандал, который здорово пошатнет позиции всех компаний в индустрии продажи воздуха сертификатов.

3. В свете приведенной выше цитаты доверие к SSL может быть также сильно подорвано.

Никакого собственного вывода из этой ситуации я пока сделать не могу. До сих пор, кроме слов «ни хрена себе» в голову ничего не приходит. Разве что не завидую параноидальным товарищам и предвижу рост использования VPN-сервисов:).
Tags:
Hubs:
Total votes 64: ↑60 and ↓4 +56
Views 4.4K
Comments Comments 49