Ragnaar's Dark House

четверг, 25 декабря 2008 г.

Хотите сертификат на Mozilla.com? Не вопрос!

Забавная и пугающая история. Оказывается вполне можно получить SSL сертификат на домен никак не подтверждая права на него! Именно это проделал Eddy Nigg из StartCom для mozilla.com, о чем он отписался в блоге и в mozilla.dev.tech.crypto... Есть одно НО, получить сертификат можно у CertStar, которые являются реселлерами Comodo. В блоге всё довольно подробно описано, в том числе как с помощью переопределения в hosts можно получить поддельный сайт с действительным сертификатом.Это все равно, что если бы я пришел в паспортный стол и попросил выдать мне паспорт на имя Путина В.В. и мне бы его тут же и выдали ничего не спрашивая...
В Bugzilla появился соответствующий баг, идет обсуждение. Comodo начали расследование деятельности своего реселлра, а нам пока советуют удалить скомпрометированный центр сертификации из Firefox... Будьте бдительны!

Комментариев нет:

Отправить комментарий