Подделаны SSL сертификаты для домена .google.com

    Неизвестным удалось несанкционированно получить валидный сертификат для .google.com. Это дает возможность проводить атаки MITM против пользователей гугло-сервисов.
    Сертификат был выдан голландским центром сертификации DigiNotar и сейчас уже отозван.
    Пользователям Google Chrome ничего не угрожает так как он проверяет валидность сертификатов онлайн. Mozilla Firefox выпустили обновление и рекомендуют вручную отключить сертификат DigiNotar в настройках браузера.

    Компания Microsoft выпустила бюллютень безопасности и обновление которым удаляет корневой сертификат DigiNotar из Microsoft Certificate Trust List.

    Статья на F-Secure
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 55

      +1
      Где на F-Secure написано «украден»?
      +1
      «Because the extent of the mis-issuance is not clear, we are releasing new versions of Firefox for desktop (3.6.21, 6.0.1, 7, 8, and 9) and mobile (6.0.1, 7, 8, and 9), Thunderbird (3.1.13, and 6.0.1) and SeaMonkey (2.3.2)»
      Вообщето еще не выпустили — только готовятся.
        0
        Я не совсем понимаю, а почему в Firefox и т.п. нет поддержки CRL, что им понадобится обновлять продукт аж целиком?
        +1
        гугловские сертификаты от Verisign, украли НЕ закрытый ключ гугла — сделали свой с таким именем
          +1
          Согласен, криво сформулировал. Поправил топик.
            +3
            Описание на русском языке:

            www.opennet.ru/opennews/art.shtml?num=31635
              –11
              [conspiracymode=«On»]
              Это гугл спровоцировал утечку, чтобы потом показать, что: «Пользователям Google Chrome ничего не угрожает так как он проверяет валидность сертификатов онлайн.»
              Огнелису еще обновляться нужно, а пользователи Хрома уже вне опасности.
              [conspiracymode=«Off»]
                +1
                Отличный conspiracymode с минусами за комментарий =)
                  +4
                  Может кто-то не знает, как переводится «conspiracy»?
                    +9
                    Он переводится и как «конспирация». Комментарий стал слабо видим — законспирировался. Моя логика была такова.
                      +6
                      Подходит, но все же чаще всего «conspiracy» это «заговор» :)
                      +2
                      Тут и переводить нечего.

                      Просто комментарий постигла вполне обычная участь шутки, которая никого не развеселила.
                  +2
                  Говорят «предпринята попытка перенаправления трафика иранских пользователей Google». Сейчас кто нибудь напишет что они выключили центрифуги для производства плутония и включили числодробилки для производства сертификатов.
                    +3
                    Шутки шутками, однако, как пишет в комментарии к пресс-релизу Mozilla иранский пользователь:
                    Thank you guys for taking care of us :)

                    For you guys, a fake certificate means a stolen password or personal information. For me and thousands of other Iranians, it leads to jail, torture or even death sentence.
                    «Для вас, ребята, поддельный сертификат означает украденный пароль или личную инфу. Для меня же и тысяч других иранцев, он влечет тюрьму, пытки и даже смертный приговор
                      0
                      а можно тут подробнее? многие, как и я только догадываются почему «jail, torture or even death sentence». хочется конкретики
                      хочу знать все(с) :)
                        0
                        много будешь знать скоро состаришься
                          +1
                          Вы правда не знаете?

                          В Иране, как и во многих других странах, жестко подавляется оппозиция. С помощью тюрем, пыток и смертных приговоров. Сторонники оппозиции, да и просто недовольные властью для свободного общения используют разные сервисы, защищенные от перехвата трафика протоколом SSL. В том числе и сервисы Гугла. Наличие поддельного сертификата позволит реализовать MITM атаку в национальном масштабе, просматривать переписку пользователей и таким образом находить недовольных.

                          В Тунисе перед революцией происходило нечто подобное. И если в той сиутации использование исключительно HTTPS могло помочь, то в данном случае не только не помогло бы, но и перехват оставался бы незаметным для пользователей.

                          «Всегда используйте HTTPS и расширение Certificate Patrol, и ваша защита будет оставаться надежной 24 часа в сутки».
                            0
                            большое спасибо, не знал про такие преследования
                          0
                          Grammar nazi: "или даже"
                        0
                        Это что, в лисе все эти сертификатные фишечки хардкодед, что ли? Зачем?
                          –6
                          Во всех браузерах списки CA (Certificate Authority) захардкожены. В этом и вся суть CA.
                            +6
                            Они предустановлены, но не захардкожены.
                            0
                            Нет, просто видимо Firefox не проверяет сертификат каждого сайта не предмет его отзыва. Но вы можете свободно удалить сертификат любого центра сертификации из своего Firefox-а.
                              +1
                              Удалить-то могу, но почему тогда то же самое нельзя сделать централизованно из какого-нибудь специального центра обновления информации о сертификатах? И что за исходники, ссылку на которые дал gribozavr выше? Тогда я не понимаю, зачем менять какой-то код из-за одного сертификата.
                              Хотя, возможно, Mozilla держит подсистему управления сертификатами в виде отдельных библиотек, где уже все и захардкожено независимо от остального Firefox'а, а в обновлении пришлют новую библиотеку. Хотя все равно неясно, к чему такие сложности.
                              Извините, что наваливаюсь с вопросами, но мне правда непонятно и интересно.
                                +1
                                Вероятно, потому, что подделав этот «специальный центр обновления информации о сертификатах», с браузером пользователя можно будет творить все что угодно.

                                Корневые сертификаты доверенных СА обычно вбиты и обновляются с апдейтом браузера.
                                Пользовательские сертификаты, если есть связь с CA, проверяются на наличие в списке отозванных (CRL, revocation list).
                            –6
                            Нынешняя система с SSL сертификатами никуда не годится, так как этим занимаются частные компании — а их сотрудники могут быть подкуплены, запуганы, атакованы, вовлечены в заблуждение, установлены трояны (многие до сих пор ведь пользуются виндоус, а ее протроянит даже школьник) и т.д. Надо либо доверить все сертификаты надежному правительству типа США (российскому я бы не доверил), либо сделать уже какую-нибудь p2p сеть типа Bitcoin для хранения данныз сертификатов.

                            И да, надесь этих мерзких иранских шпионов поймают и отправят в Гуантанамо. Отрицательно отношусь к тем, кто свои грязные и испачканные в крови руки тянет к интернету.
                            • НЛО прилетело и опубликовало эту надпись здесь
                                –4
                                В гос. организациях вообще-то есть строгие регламенты, отбор сотрудников и уголовная ответственность. А частная компания может творить что хочет, и ничего ей за это не будет. У ФСБ почему-то никто сертификаты не ворует (можете рискнуть попробовать запугать или атаковать их сотрудников), а у этой компании полный дыр сервер и хоть бы хны. Как им вообще можно доверять?
                                • НЛО прилетело и опубликовало эту надпись здесь
                              • НЛО прилетело и опубликовало эту надпись здесь
                                • НЛО прилетело и опубликовало эту надпись здесь
                                  0
                                  >Надо либо доверить все сертификаты надежному правительству типа США (российскому я бы не доверил)

                                  >И да, надесь этих мерзких иранских шпионов поймают и отправят в Гуантанамо. Отрицательно отношусь к тем,
                                  >кто свои грязные и испачканные в крови руки тянет к интернету.

                                  Одна из напрашивающихся версий — это «надёжное правительство» организовало атаку «человек посередине» против Ирана. Атака замечена, компания, бизнес которой был почти не связан с продажей сертификатов, бизнес этот скорее всего потеряла (100.000 долларов в год). В чистом остатке — владея корневым сертификатом, прошитым в браузеры, можно подделывать любые сертификаты, потеряв сравнительно небольшую сумму, и просматривать зашифрованный интернет трафик, переправлять любые запросы на свои сервера, работать с банковскими данными — то есть фактически делать что угодно.

                                  И что с этим делать непонятно, так как единственно приемлемое решение — повесить все работы по выдаче и поддержанию сертификатов на производителей браузеров — вряд ли практически реализуемо без создания сети посредников, такой же как есть сейчас.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    +1
                                    В Firefox можно включить проверку по OCSP в настройках.
                                      0
                                      Не поможет. подробнее тут — www.opennet.ru/opennews/art.shtml?num=31635
                                        0
                                        Поможет после того как подобный сертификат будет отозван. А по сути от таких случаев ничего не поможет.
                                      0
                                      Фигасебе, «ошибочка».
                                        +2
                                        Я так понял DigiNotar больше не сертификационный центр? (имеется ввиду — выданные им сертификаты теперь недействительны?)
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          0
                                          Странно но в Опере нет DigiNotar. Или его удалили уже?
                                          И в Хроме нет и даже в IE 7 нету, только FF его еще имеет
                                          0
                                          Кто же виноват?
                                            0
                                            Правильная ссылка на ручное удаление сертификата в Firefox: support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert
                                            Правда в комментах жалуются, что не работает.
                                              0
                                              Эта ссылка есть в тексте по ссылке в топике. И УМВР.
                                              0
                                              Подскажите, почему в хроме у меня вот такое на многих сайтах?
                                                0
                                                вебмастера сайта не учли нюансы включенных сертификатов ЦС в мак осе / возможно другой ОС, которую вы используете
                                                  0
                                                  Сотрудники устанавливающие сертификат, скорее всего, не установили промежуточные сертификаты или используют самоподписанный сертификат.

                                                  Самый правильный выход в этой ситуации (если Вы уверены, что попали на нужный сайт), сообщить владельцам ресурса об этой ошибки.
                                                    0
                                                    Сертификат валиден, что-то не так именно с MAC-версией хрома.
                                                    image
                                                      0
                                                      дело в том, что в некоторых версиях мак ос некоторые сертификаты корневых центров thawte зачем-то отмечены как недоверенные… ) об этом на форумах маководов достаточно обсуждается
                                                    0
                                                    Пришло обновление в убунте
                                                    * SECURITY UPDATE: Blacklist «DigiNotar Root CA» due to fraudulent certificate issuance

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое