Ещё одно Бюро сертификации подверглось атаке хакеров

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 22 июн 2011.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Компания StartCom, занимающаяся выдачей SSL-сертификатов под брендом StartSSL, временно прекратила выдачу новых сертификатов из-за взлома системы безопасности, который произошёл на прошлой неделе.

    "Из-за обхода системы защиты, который произошёл 15 июня, выпуск цифровых сертификатов и предоставление соответствующих услуг временно приостановлены. До особого распоряжения работа наших сервисов осуществляться не будет", - заявили в компании.

    StartCom также отметила, что владельцев действующих сертификатов этот инцидент не затронул. Технический директор StartCom Эдди Нигг сообщил изданию The Register, что хакеры попытались получить сертификаты для тех же веб-сайтов, что и в случае с атакой на Бюро сертификации Comodo, произошедшей ранее в этом году, а именно - www.google.com, login.yahoo.com, login.skype.com, login.live.com и mail.google.com.

    К счастью, в отличие от атаки на Comodo, хакерам не удалось сгенерировать нужные им сертификаты. Им также не удалось получить sub-CA сертификат, который бы позволил им выпускать сертификаты самостоятельно. Нигг сообщил, что их закрытый ключ хранится на компьютере, изолированном от интернета, и поэтому он был в безопасности.

    Недавние атаки на Бюро сертификации вызывают множество вопросов о безопасности инфраструктуры открытых ключей. Создатели браузеров пытаются разработать средства, которые бы помогли защитить пользователей даже в тех случаях, когда злоумышленникам удаётся выпустить мошеннические сертификаты. Компания Google, например, в своём браузере Chrome представляет функционал, названный "закрепление сертификата" (certificate pinning), дающий пользователям возможность ассоциировать некоторые элементы сертификата с конкретным доменом. Так, сертификат для mail.google.com пройдёт валидацию только в том случае, если он будет выпущен одним из нескольких конкретных Бюро сертификации. Это в значительной степени ограничит возможности хакеров.

    Источник
     
    3 пользователям это понравилось.

Поделиться этой страницей