This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Турецкие сертификации screwup приводит к попытке Google олицетворения

Filed Under: Apple Safari, Featured, Firefox, Google, Google Chrome, Internet Explorer, Privacy, Vulnerability, Web Browsers

Рассеянная любезно висячий замок Shutterstock В некоторые дни я чувствую себя как испорченная пластинка , которая держит повторяет ту же историю . Повторите Сегодня мем? Сертификации выдает сертификаты ведущих к Google пользователи следят.

Google впервые обнаружена проблема, с помощью Chrome, свидетельство пиннинга , 24 декабря, по данным блога под названием "Повышение цифровой сертификат безопасности".

Это название немного вводит в заблуждение, так как это уведомление не было вообще об активной повышения безопасности цифровых сертификатов, а больше зачистке от крупной аварии.

Неизвестный Google Chrome пользователь был предупрежден, чтобы законно подписала Google сертификат, который фактически не принадлежат Google.

Кто-то пытается выполнить человек-в-середине нападение на безопасную связь этого пользователя предназначено для Google.

Мы не знаем, где это произошло, но это не имеет значения технически очень много. Это означает, сертификации либо выдают сертификаты для тех, кто не должен иметь их или была нарушена.

То, что я думаю, что это означает, то, что я говорил раньше: мы не можем доверять нынешней власти на основе сертификатов SSL / TLS системы. Она сломана, и я не верю, она может быть легко исправлена.

TurkTrust SSL логотип Google посмотрел на подписание цепи на сертификат и определяется фиктивные *. Google.com сертификат был выдан промежуточным центром сертификации, который получил свою власть от турецкого TURKTRUST CA.

Это промежуточный сертификат выглядели странно и в самом деле это было очень странно. Он не должен был существовать.

После сообщения о данном инциденте, TURKTRUST обнаружили его случайно выпустил два промежуточных сертификатов вместо обычных сертификатов сайте в августе 2011 года, в том числе той, которая используется подписать поддельный сертификат Google.

Что такое промежуточный сертификат? Без объяснения всей SSL / TLS сертификат процесс, промежуточный сертификат, по существу мастер-ключ, который может создать сертификаты для любого доменного имени.

Эти сертификаты могут быть использованы для олицетворения любой веб-сайт в любом браузере без конца пользователя, который предупредил, что ничего плохого. Тем не менее получить замка, по-прежнему показывает все, как действительные.

Когда вы доверяете замок в вашем браузере, чтобы быть индикатором безопасности, вы не просто доверяя ~ 150 центров сертификации доверяют Mozilla, Microsoft и Google.

EFF SSL обсерватории По словам EFF SSL в обсерватории , пользователи Firefox на MS Windows проб в 2010 году столкнулся 1482 различных органов подписания (в том числе промежуточных сертификатов), все из которых средний пользователь будет слепо доверять.

Вы веря, что ни один из них решил вступить в сговор с теми, кто хочет шпионить на трафик, никто из них есть вирус или была взломана, и ни один из них в настоящее время вынуждена правительством, чтобы помочь с прослушивания .

Гм.

Таким образом, мы еще раз пройти через процесс аннулирования сертификатов и решая, сколько будущим доверия положить в TURKTRUST.

Google была блокировка сертификаты, подписанные неправильно выданных промежуточных сертификатов для пользователей, так как Chrome 26 декабря. Позже в этом месяце они будут отменить способность к сертификаты, подписанные TURKTRUST появляются, чтобы иметь Extended Validation (зеленый моментом в адресной строке).

Microsoft выпустила консультативные сегодня отменив все сертификаты, подписанные промежуточных сертификатов для всех поддерживаемых версий Windows. ОС Windows 8/Server 2012/RT пользователи получат это обновление автоматически; тех, кто пользуется старыми версиями Windows, нужно будет использовать Windows Update.

Mozilla Logo Mozilla выпустила заявление объявив они будут отмене двух промежуточных сертификатов следующий вторник, 8 январь (Pacific Standard Time предположительно) с следующей версии Firefox.

Mozilla также временно отозвать корневой сертификат TURKTRUST всецело, до дальнейшего рассмотрения.

Опера еще сделать замечание, хотя пользователи могут вручную удалить TURKTRUST из списка доверенных корневых если они выбирают.

Apple, как всегда, не прокомментировал, когда и если они будут принимать меры по защите и Safari IOS пользователей от любых Последствия этих сертификатов.

Это действительно раз, когда мы переходим от этого 20-летний мужчина, плохо реализуется система. Будь то Public Key закрепление расширения для HTTP , конвергенция , надежные утверждения для сертификатов ключей ( TACK ) или DNSSEC-TLS , мы должны выбрать что-то и начать его осуществление.

Он не должен быть идеальным, чтобы победить то, что у нас есть. Мы весело провели время, обсуждая достоинства и недостатки этих предложений в течение десяти лет на конференциях. Настало время мы приступим к работе.

Рассеянная замка любезно образ Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.