Центр сертификации Certigna по ошибке опубликовал закрытый SSL ключ

Тема в разделе "Новости информационной безопасности", создана пользователем Саныч, 10 июн 2011.

  1. Саныч
    Оффлайн

    Саныч Активный пользователь

    Сообщения:
    869
    Симпатии:
    1.697
    Французский центр, занимающийся выдачей SSL-сертификатов, допустил досадную ошибку в конфигурации своего сервера, которая привела к тому, что достоянием общественности стал закрытый ключ центра, и это может оказаться потенциально опасным для web-браузеров по всему миру.

    SSL сертификаты в Интернете служат двум основным целям: они шифруют информацию и подтверждают идентичность сервера. Вторая из функций подразумевает, что сертификаты не раздаются кому угодно, напротив, лицо их запрашивающее, должно в какой-то степени руководить этим доменом. Подтверждением правомочности могут служить как длительные переговоры с администраторами, так и простое размещение секретного файла где-то на сервере.

    Чтобы предотвратить создание сертификатов силами самих пользователей, каждый поставщик SSL-сертификатов использует свой закрытый ключ. Этот ключ должен храниться в строжайшей секретности, посредством него подписываются SSL-сертификаты, что свидетельствует о том, что их выписал надежный центр. Обычно за этими ключами пристально следят, т.к. при наличии сертификата, заверенного надежным центром, браузеры по умолчанию не выдают предупреждающих сообщений при подключении.

    К сожалению, специалисты французского центра Certigna не смогли удержать этот ключ поз замком. Заходя на страницу со списком отмененных операций, любой пользователь стандартного интернет-браузера мог скачать секретный ключ, а возможно и другие секретные файлы, получая при этом потенциальную возможность выдавать заверенные Certigna SSL-сертификаты.

    [​IMG]

    При этом Certigna – это не мелкая фирма. Сертификаты, заверенные ей, признаются Explorer, Firefox, Opera, Safari и большинством других браузеров. Любой бездельник, скачавший ключ, сможет создавать свои сертификаты для таких сайтов, как www.windowsupdate.com, и их легко будет выдать за настоящие.

    Позднее Certigna выпустила обращение, в котором утверждает, что данный файл являлся "тестовым", к тому же его срок действия истек. "Закрытый ключ, доступный на нашем сайте, относится к тестовому сертификату", - утверждает компания. "С помощью этого кода невозможно сгенерировать новый действительный сертификат. Кроме того, он зашифрован и недействителен уже с июля 2010г. Этот ключ никак не может повлиять на структуру безопасности. Личный код Certigna хранится в HSM (Hardware Security Module) и не может быть доступен. А этот бесполезный файл был удален".



    источник
     

Поделиться этой страницей