https://ssl.opennet.dev/openforum/vsluhforumID3/88075.html Компании Mozilla и Google одновременно (https://blog.mozilla.org/security/2013/01/03/revoking-trust-in-two-turktrust-certficates/) объявили (http://googleonlinesecurity.blogspot.ru/2013/01/enhancing-digital-certificate-security.html) о прекращении доверия двум корневым сертификатам удостоверяющего центра TurkTrust и отзыве данных сертификатов из базы, поставляемой в составе браузеров Firefox и Chrome. Причиной удаления сертификатов, являются вскрывшиеся факты использования выписанных от лица сервиса TurkTrust SSL-сертификатов для совершения MITM-атак (man-in-the-middle), направленных на транзитный перехват и расшифровку SSL-трафика на промежуточном узле.<br><br><br>24 декабря компанией Google был выявлен обманный сертификат, выписанный для доменов *.google.com, который был задействован для совершения атаки на пользователей сервисов Google. Не исключено, что подобные обманные сертификаты могли быть использованы для атаки на другие компании и службы. Удостоверяющий центр TurkTrust, который присутствовал в цепочке дове https://ssl.opennet.dev/openforum/vsluhforumID3/88075.html#81 Wed, 09 Jan 2013 08:04:55 GMT Это в идеале, в жизни в борьбе лень vs паранойа побеждает лень... (в большинстве случаев)<br> https://ssl.opennet.dev/openforum/vsluhforumID3/88075.html#80 Mon, 07 Jan 2013 18:38:38 GMT Объясню почему вас минусуют - 99.99% сайтов в интернете с SSL. Никакого доверия к ним нет. То что им выдали сертификат с закрытыми глазами - тоже абсолютно ничего не значит, т.к. они сами по себе могут быть man-in-the-middle. Например, изменить 1 букву в имени домена и выписать себе сертификат. Все. А у пользователя возникнет ложное чувство доверенности из-за зеленого замка.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/88075.html#79 Mon, 07 Jan 2013 08:11:10 GMT &gt; "датацентрах находится специальное оборудование для снифинга" -- вот как ИМЕННО ЭТО ОБОРУДОВАНИЕ <br>&gt; подучает доступ к зашифрованному трафику?<br>&gt; а про сервера объснять не надо <br><br>это оборудование стоит уже за сервером, который расшифровывает трафик. Далее трафик, уже будучи расшифрованным, заворачивается в маршрут для прослушки спец оборудованием (незачем ему шифрованный трафик).<br><br>&gt; если я хозяин сервера и решил подключитсья к своему серверу из дома <br>&gt; -- то для меня не составит проблемы посмотреть на отпечаток ключа <br>&gt; (совпадёт ли он или нет?). таким образом хозяин сервера может ОДНОЗНАЧНО <br>&gt; определить была ли подстановка или не было. [в случае если в <br>&gt; датацентре стоит "специальное оборудование для снифинга SSL"].<br>&gt; сразу вопрос: каким образом можно сделать MitM над SSL и при этом <br>&gt; НЕ поменять отпечаток ключа? ни каким? значит невозможно сделать MitM над <br>&gt; SSL совершенно незаметным. хозяен сервера узнает об MitM и сразуже разгорится <br>&gt; скандал =&gt; очередной доверенный центр SSL пойдёт в ве https://ssl.opennet.dev/openforum/vsluhforumID3/88075.html#78 Mon, 07 Jan 2013 02:03:04 GMT "датацентрах находится специальное оборудование для снифинга" -- вот как ИМЕННО ЭТО ОБОРУДОВАНИЕ подучает доступ к зашифрованному трафику?<br><br>а про сервера объснять не надо<br><br>&gt; А теперь, кто осилил то, что я написал, то что будет, если кто-то получит фиктивный сертификат с открытым ключем?<br><br>если я хозяин сервера и решил подключитсья к своему серверу из дома -- то для меня не составит проблемы посмотреть на отпечаток ключа (совпадёт ли он или нет?). таким образом хозяин сервера может ОДНОЗНАЧНО определить была ли подстановка или не было. [в случае если в датацентре стоит "специальное оборудование для снифинга SSL"].<br><br>сразу вопрос: каким образом можно сделать MitM над SSL и при этом НЕ поменять отпечаток ключа? ни каким? значит невозможно сделать MitM над SSL совершенно незаметным. хозяен сервера узнает об MitM и сразуже разгорится скандал =&gt; очередной доверенный центр SSL пойдёт в вечный бан от Mozilla и Chromium.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/88075.html#77 Sun, 06 Jan 2013 11:56:07 GMT Порт библиотеки nss на FreeBSD обновили: http://www.freshports.org/security/nss/<br> https://ssl.opennet.dev/openforum/vsluhforumID3/88075.html#76 Sat, 05 Jan 2013 22:57:55 GMT MITM-атаки. Охохо, MIT - это турецкая гэбня.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/88075.html#75 Sat, 05 Jan 2013 20:57:40 GMT &gt; Простите, а Вы как на гмейл и им подобные ходите и проверяете <br>&gt; свои акаунты в онлайне и почту?<br><br>никак: зачем мне эти зонды? у меня свой сервер, с пингвинами и поэзией. о какой вообще безопасности может идти речь, когда *личная* информация хранится незнамо у кого?<br><br>ах, да: *свой* сервер. вот он, железный, рядом со мной, можно пощупать. а не загадочное нечто в далёком датацентре.<br><br>впрочем, если СИЛЬНО хочется обмениваться информацией через гугель, то шифрование никто ещё не отменял. а уж как обменяться ключами &#8212; это другой вопрос.<br><br>&gt; выкинуть всегда успеется, если есть достойная замена.<br><br>которая не появится, пока &#171;да ладно, оно же даёт иллюзию безопасности. значит &#8212; работает. да и бизнес на сертификатах тоже вкусный.&#187;<br> https://ssl.opennet.dev/openforum/vsluhforumID3/88075.html#74 Sat, 05 Jan 2013 20:28:55 GMT &gt; SSK + TLS v1.2 + DNSSEC <br><br>лучше, чем &#171;голый&#187; ssl, но не намного. к тому же &#8212; подписывать весь сайт? если он, например, динамически генерируется? не лучший вариант.<br><br>остаётся, опять же, вопрос доверия ключу. решаемый, но тем не менее.<br><br>p.s. ах, да. DNS. с ключевым словом &#171;централизация&#187;.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/88075.html#73 Sat, 05 Jan 2013 15:44:32 GMT SSK + TLS v1.2 + DNSSEC<br>