Все SSL сертификаты могут быть подменены: TURKTRUST

Брайан Кребс, бывший репортер Washington Post, теперь признанный блоггер в отчетах по компьютерной безопасности:

Турецкий регистратор Enabled Фишеры подменить Google

Турецкое правительственное агентство поддельного сертификата Google "случайно"

Обратите внимание, что поддельные промежуточные файлы CA были в дикой природе для 5 месяцев! Возможность выдавать себя за сервер SSL стоит свыше 25 000 $ на черном рынке.

Вот моя (бедные) попытка объяснить, что это все о:

Есть SSL сертификаты поддельные google.com используется для кражи паролей и взломать счета.

Microsoft Security Advisory 2798897: Мошеннические цифровые сертификаты делают возможным спуфинг

Это, вероятно, вызовет централизованный орган принять дополнительные меры, чтобы ограничить свободу в сети. Предложения, как TLSA / CAA положить слишком много власти в руках DNS регистраторов.

Это не первый раз, когда система доверия CA для всех SSL сертификатов была нарушена настежь. Этот разговор от 28C3 описывает другой плохой.

Namecoin, несмотря на свои слабые стороны, возможно, просто есть шанс!

Так что, если я правильно понимаю, единая точка отказа существующей структуры власти сертификата может сделать кто-либо кому-либо еще олицетворять?

Есть тысячи сертификатов SSL власти.

Любой из них может выдать действительный сертификат SSL для любого веб-сайта.

Таким образом, существующая система доверия является единственной точкой отказа, да. Любой из органов сертификации может сделать сертификат для любого веб-сайта.

Система сертификации является мусором. Я использую сертификат Patrol и перспективы для защиты от такого рода вещи. Я хотел бы отключить все центры сертификации, но Firefox плохо при обработке этого.

Моя любимая идея для замены системы ЦС должен поместить сертификаты в DNSSEC защищенных DNS записей. Тогда только люди, у вас есть соглашения с может ввернуть вам: ваш регистратор, регистрация и ICANN.

Когда я принес это в потоке протокола оплаты, почему я крикнул вниз за это время чисто теоретическая проблема?

Цитата: theymos от 29 января 2013 года, 11:30:51 PM

Таким образом, CA не может быть лучше, чем вручную подтверждать каждый сертификат самостоятельно (за исключением, может быть, первый раз посетить веб-сайт и использовать CA, чтобы соответствовать имени, который вы хотите посетить)

Во всяком случае, я никогда не понимал этого раньше.

1) Таким образом, фишинг-сайт может иметь сертификат SSL, который появляется, чтобы быть Paypal.com (например), является то, что «практическим» применением этой информации?

2) DNS было сказано: Если мой DNS является безопасным, то люди земли в правильном месте и увидеть мой подлинный сертификат. Я больше обеспокоен тем, что переход к TLS1.1 никогда не было, TLS1.0 является взломать.

Цитата: Bit_Happy 30 января 2013 года, 5:03:12 AM

Это одна забота, но основной проблемой является то, что ваш провайдер или кто-то еще между вами и PayPal в сети может перехватить пароль PayPal.

Цитата: theymos 30 января 2013 года, 9:49:21 AM

Цитата: Bit_Happy 30 января 2013 года, 5:03:12 AM

Я уверен, что кто-то (возможно, некоторые правительства) будет делать это.

Единственный правильный способ сделать такую безопасность, чтобы получить отпечаток сертификата непосредственно из партии или есть кто-то вы доверяете предоставить его вам.

Это своего рода-пути это делается с системой УД, за исключением вы доверяя центры сертификации, так как провайдеры браузера поставить некоторые провайдеры по умолчанию там, потому что ... Ну, вы знаете, почему? Вы знаете, что требования к поставщикам браузера сделать из УЦ, чтобы оправдать их, давая им свое доверие по доверенности?

Истина заключается в том, что это довольно дрянная система и, безусловно, является результатом удобства по безопасности. Я до сих пор использовать его, потому что риски невелики и не рассматривать другие варианты, чтобы быть реально стоит хлопот. Так что удобство по безопасности для меня тоже, но я делаю это по собственному выбору. Есть много (большинство) людей, которые там не знают о последствиях.

И то, что сделка с bitcoin.org и сайт оружейной, где люди получают их Bitcoin программного обеспечения от не используется какой-либо безопасности / шифрования на всех, чтобы защитить передачу?
Любой MITM может помешать отправить вредоносные программы вместо реальных, чтобы украсть все ничего не подозревающий DownLoader в монетке (потенциально миллионы).
Есть ли обсуждение этого недостатка безопасности в центре BTC?

4 января 2013, 3:01:09 AM	# 1
звуки Сообщения: 140 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Брайан Кребс, бывший репортер Washington Post, теперь признанный блоггер в отчетах по компьютерной безопасности: Турецкий регистратор Enabled Фишеры подменить Google Турецкое правительственное агентство поддельного сертификата Google "случайно" Обратите внимание, что поддельные промежуточные файлы CA были в дикой природе для 5 месяцев! Возможность выдавать себя за сервер SSL стоит свыше 25 000 $ на черном рынке.

4 января 2013, 3:04:10 AM	# 2
звуки Сообщения: 140 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST Получил 1806 Биткоинов Реальная история. Вот моя (бедные) попытка объяснить, что это все о: Есть SSL сертификаты поддельные google.com используется для кражи паролей и взломать счета. Microsoft Security Advisory 2798897: Мошеннические цифровые сертификаты делают возможным спуфинг Это, вероятно, вызовет централизованный орган принять дополнительные меры, чтобы ограничить свободу в сети. Предложения, как TLSA / CAA положить слишком много власти в руках DNS регистраторов. Это не первый раз, когда система доверия CA для всех SSL сертификатов была нарушена настежь. Этот разговор от 28C3 описывает другой плохой. Namecoin, несмотря на свои слабые стороны, возможно, просто есть шанс!

29 января 2013, 9:16:27 PM	# 3
twolifeinexile Сообщения: 154 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST Так что, если я правильно понимаю, единая точка отказа существующей структуры власти сертификата может сделать кто-либо кому-либо еще олицетворять?

29 января 2013, 10:53:45 PM	# 4
звуки Сообщения: 140 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST Есть тысячи сертификатов SSL власти. Любой из них может выдать действительный сертификат SSL для любого веб-сайта. Таким образом, существующая система доверия является единственной точкой отказа, да. Любой из органов сертификации может сделать сертификат для любого веб-сайта.

29 января 2013, 11:30:51 PM	# 5
theymos Сообщения: 2884 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST Система сертификации является мусором. Я использую сертификат Patrol и перспективы для защиты от такого рода вещи. Я хотел бы отключить все центры сертификации, но Firefox плохо при обработке этого. Моя любимая идея для замены системы ЦС должен поместить сертификаты в DNSSEC защищенных DNS записей. Тогда только люди, у вас есть соглашения с может ввернуть вам: ваш регистратор, регистрация и ICANN.

30 января 2013, 12:45:11 AM	# 6
justusranvier Сообщения: 1400 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST Когда я принес это в потоке протокола оплаты, почему я крикнул вниз за это время чисто теоретическая проблема?

30 января 2013, 1:04:34 AM	# 7
twolifeinexile Сообщения: 154 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST Цитата: theymos от 29 января 2013 года, 11:30:51 PM Система сертификации является мусором. Я использую сертификат Patrol и перспективы для защиты от такого рода вещи. Я хотел бы отключить все центры сертификации, но Firefox плохо при обработке этого. Моя любимая идея для замены системы ЦС должен поместить сертификаты в DNSSEC защищенных DNS записей. Тогда только люди, у вас есть соглашения с может ввернуть вам: ваш регистратор, регистрация и ICANN. Таким образом, CA не может быть лучше, чем вручную подтверждать каждый сертификат самостоятельно (за исключением, может быть, первый раз посетить веб-сайт и использовать CA, чтобы соответствовать имени, который вы хотите посетить) Во всяком случае, я никогда не понимал этого раньше.

30 января 2013, 5:03:12 AM	# 8
Bit_Happy Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST 1) Таким образом, фишинг-сайт может иметь сертификат SSL, который появляется, чтобы быть Paypal.com (например), является то, что «практическим» применением этой информации? 2) DNS было сказано: Если мой DNS является безопасным, то люди земли в правильном месте и увидеть мой подлинный сертификат. Я больше обеспокоен тем, что переход к TLS1.1 никогда не было, TLS1.0 является взломать.

30 января 2013, 9:49:21 AM	# 9
theymos Сообщения: 2884 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST Цитата: Bit_Happy 30 января 2013 года, 5:03:12 AM 1) Таким образом, фишинг-сайт может иметь сертификат SSL, который появляется, чтобы быть Paypal.com (например), является то, что «практическим» применением этой информации? Это одна забота, но основной проблемой является то, что ваш провайдер или кто-то еще между вами и PayPal в сети может перехватить пароль PayPal.

30 января 2013, 1:46:35 PM	# 10
twolifeinexile Сообщения: 154 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST Цитата: theymos 30 января 2013 года, 9:49:21 AM Цитата: Bit_Happy 30 января 2013 года, 5:03:12 AM 1) Таким образом, фишинг-сайт может иметь сертификат SSL, который появляется, чтобы быть Paypal.com (например), является то, что «практическим» применением этой информации? Это одна забота, но основной проблемой является то, что ваш провайдер или кто-то еще между вами и PayPal в сети может перехватить пароль PayPal. Я уверен, что кто-то (возможно, некоторые правительства) будет делать это.

30 января 2013, 8:58:31 PM	# 11
Richy_T Сообщения: 1330 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST Единственный правильный способ сделать такую безопасность, чтобы получить отпечаток сертификата непосредственно из партии или есть кто-то вы доверяете предоставить его вам. Это своего рода-пути это делается с системой УД, за исключением вы доверяя центры сертификации, так как провайдеры браузера поставить некоторые провайдеры по умолчанию там, потому что ... Ну, вы знаете, почему? Вы знаете, что требования к поставщикам браузера сделать из УЦ, чтобы оправдать их, давая им свое доверие по доверенности? Истина заключается в том, что это довольно дрянная система и, безусловно, является результатом удобства по безопасности. Я до сих пор использовать его, потому что риски невелики и не рассматривать другие варианты, чтобы быть реально стоит хлопот. Так что удобство по безопасности для меня тоже, но я делаю это по собственному выбору. Есть много (большинство) людей, которые там не знают о последствиях.

24 февраля 2013, 1:33:55 AM	# 12
MoneypakTrader.com Сообщения: 473 Цитировать по имени цитировать ответ	Re: Все SSL сертификаты могут быть подменены: TURKTRUST И то, что сделка с bitcoin.org и сайт оружейной, где люди получают их Bitcoin программного обеспечения от не используется какой-либо безопасности / шифрования на всех, чтобы защитить передачу? Любой MITM может помешать отправить вредоносные программы вместо реальных, чтобы украсть все ничего не подозревающий DownLoader в монетке (потенциально миллионы). Есть ли обсуждение этого недостатка безопасности в центре BTC?

Заголовок