  |
Za poslednú hodinu: 33 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Sobota, 20. apríla 2024, dnes má meniny Marcel |
|
Na Internete sa zneužíval ďalší falošný SSL certifikát pre domény Google
Spoločnosť objavenie podvodného certifikátu oznámila vo štvrtok. Google pomocou automatického aktualizačného mechanizmu prehliadača Chrome 25. decembra vo svojom prehliadači zakázal tento podvodný certifikát rovnako ako certifikát použitý pre podpísanie podvodného certifikátu, ktorý vydala turecká certifikačná autorita Turktrust. 26. decembra spoločnosť zneplatnila v Chrome ďalší certifikát vydaný autoritou Turktrust, ktorý umožňoval vytváranie podvodných certifikátov. V následnom šetrení Turktrust zistila, že ešte v auguste 2011 vydala svojim zákazníkom údajne omylom dva certifikáty pre domény *.ego.gov.tr a e-islem.kktcmerkezbankasi.org, ktoré mali nastavené parametre umožňujúce podpisovať ďalšie certifikáty. Tieto certifikáty zároveň nemali zabudované rozšírenia pre kontrolu ich prípadného zneplatnenia a nestačí ich tak zneplatniť v systémoch Turktrust. Certifikát pre *.ego.gov.tr bol následne použitý k vytvoreniu podvodného certifikátu pre *.google.com. Kto podvodný certfikát vytvoril, kedy ho vytvoril, ako dlho a v akom rozsahu bol zneužívaný na Internete nie je zatiaľ jasné. Prípad je už niekoľkým prípadom získania podvodných X509 SSL certifikátov, ktoré sa následne umožňujú útočníkom v kombinácii s podvrhnutím nepravých DNS informácií vydávať za prevádzkovateľov aj zabezpečených stránok pre domény falošných certifikátov a napríklad realizovať MITM, Man-In-The-Middle, útok pomocou týchto certifikátov. V predchádzajúcich prípadoch ale útočníci vytvorili falošný certifikát buď sofistikovaným útokom využívajúcim MD5 kolízie alebo preniknutím na servery certifikačných autorít. Pre zlyhanie certifikačnej autority Turktrust od tohto týždňa Chrome nebude označovať Extended Validation, EV, certifikáty, ktoré by mali mať väčšiu dôveryhodnosť, od tejto tureckej autority za EV certifikáty. Zároveň so včerajším oznámením Microsoft rovnako ako Google aktualizáciou zneplatnil vo Windows a IE falošný certifikát aj dva zlé vydané certifikáty od Turktrust, Mozilla včera oznámila zneplatnenie dvoch zle vydaných certifikátov v aktualizácii Firefoxu plánovanej na 8. januára. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
