Как стать автором
Обновить

Trustwave признает выдачу корневого сертификата сторонней компании

Время на прочтение 1 мин
Количество просмотров 4.6K
Источники: статья на ComputerWorld и пост на lwn.net

Вкратце, суть статьи. Trustwave признает выдачу корневого сертификата (subordinate root) сторонней компании. Это означает, что компания рога-и-копыта лтд. может, при наличии такого сертификата, подписать что угодно, уже без обращения к центру сертификации. Например, такой сертификат может быть использован для man-in-middle атак, которые пользователь просто не сможет отследить.

Особенно радует следующая цитата: «В свою защиту Trustwave говорит, что выдача корневого сертификата сторонней компании для анализа SSL-трафика внутренней сети компании — это обычная практика».


К чему это может нас привести.

1. Trustwave может быть убран из доверенных корневых сертификатов. Печально, что при этом пострадают ни в чем не повинные компании, купившие у них сертификат на свои домены.

2. В перспективе это может быть раздуто в большой скандал, который здорово пошатнет позиции всех компаний в индустрии продажи воздуха сертификатов.

3. В свете приведенной выше цитаты доверие к SSL может быть также сильно подорвано.

Никакого собственного вывода из этой ситуации я пока сделать не могу. До сих пор, кроме слов «ни хрена себе» в голову ничего не приходит. Разве что не завидую параноидальным товарищам и предвижу рост использования VPN-сервисов:).
Теги:
Хабы:
+56
Комментарии 49
Комментарии Комментарии 49

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн
PG Bootcamp 2024
Дата 16 апреля
Время 09:30 – 21:00
Место
Минск Онлайн
EvaConf 2024
Дата 16 апреля
Время 11:00 – 16:00
Место
Москва Онлайн