Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Walczą z fałszywym certyfikatem

Rekomendowane odpowiedzi

Microsoft stara się zablokować fałszywy certyfikat HTTPS, za pomocą którego można wykonać atak typu man-in-the-middle. Certyfikat został wydany dla witryn live.fi oraz www.live.fi. To adresy zarezerwowane dla usług Windows Live.
Certyfikat został już unieważniony przez Comodo, w której imieniu go wydano. Jednak, biorąc pod uwagę łatwość, z jaką można ominąć takie unieważnienie, istnieje spore ryzyko, że przestępcy będą mogli z niego korzystać.

Ostrzegamy użytkowników o nieprawidłowo wydanym certyfikacie SSL. Może on zostać wykorzystany podczas ataków phishingowych oraz ataków man-in-the-middle na użytkowników różnych witryn Microsoftu. Nie można go wykorzystać do wydania dodatkowych certyfikatów, ataku na inne domeny czy podpisania kodu - informuje Microsoft.

Problem ze wspomnianym certyfikatem to kolejny już dowód na słabość protokołu SSL, który jest de facto internetowym standardem używanym do szyfrowania ruchu. Już w 2009 roku znany badacz Moxie Marlinspike wykazał, że przestępcy mogą w bardzo prosty sposób oszukać wykorzystywane przez przeglądarki listy ważnych certyfikatów. Dzieje się tak, gdyż przeglądarka, łącząc się z serwerem na którym przechowywane są dane o certyfikatach uzna certyfikat za ważny jeśli nie uzyska dostępu do serwera. Wystarczy zatem spowodować, by informacja do przeglądarki nie dotarła i można przeprowadzić atak za pomocą fałszywego certyfikatu.

Na razie nie wiadomo, w jaki sposób doszło do sfałszowania certyfikatu. Z informacji przekazanych przez Microsoftu wynika, że wskutek błędu w systemie pocztowym ktoś nieuprawniony uzyskał dostęp do konta w domenie live.fi.
Słabość systemu cyfrowych certyfikatów polega też na tym, że dość łatwo jest taki certyfikat uzyskać, ale trudno go unieważnić. Jedynym skutecznym sposobem unieważnienia certyfikatu jest opublikowanie odpowiedniej aktualizacji przez producentów przeglądarek. Po jej zainstalowaniu przeglądarka nie dopuści do skorzystania ze sfałszowanego certyfikatu.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

Dzieje się tak, gdyż przeglądarka, łącząc się z serwerem na którym przechowywane są dane o certyfikatach uzna certyfikat za ważny jeśli nie uzyska dostępu do serwera.

 

W Firefoksie ustawiamy "security.OCSP.require" na "true", wówczas połączenie nie dojdzie do skutku (zakładając, że ktoś nie wyłączył OCSP).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...