Злоумышленникам удалось получить поддельные SSL-сертификаты (дополнено)

23 марта 2011 года

Стали известны дополнительные подробности причин экстренного обновления черных списков SSL-сертификатов в Firefox, Chrome/Chromium и Internet Explorer. По данным из блога разработчиков проекта Tor злоумышленникам удалось получить девять валидных HTTPS-сертификатов для ряда известных web-ресурсов, из которых подтвержден только поддельный сертификат для addons.mozilla.org, название остальных сайтов неизвестно.

Предполагается, что подобное стало возможным в результате компрометации центра сертификации Comodo ( CA). Используя данные сертификаты злоумышленники могут сформировать поддельный сайт, который будет неотличим от настоящего и будет содержать не вызывающий подозрение SSL-сертификат. Перенаправить пользователя на подобные сайты можно организовать используя, например, атаки man-in-middle или отравление DNS-кэша. Подробности случившегося пока не сообщаются, возможно сертификаты получены через официальные каналы обманным путем, используя методы социальной инженерии. В худшем случае данный инцидент может поставить под угрозу сам принцип организации иерархии удостоверяющих центров.

Дополнение: Компания Comodo, спустя восемь дней с момента обнаружения проблемы, опубликовала заявление в котором обобщила суть произошедшего инцидента. Подробнее о случившемся и возможных последствиях инцидента можно прочитать здесь.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Злоумышленникам удалось получить поддельные SSL-сертификаты (дополнено)», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.