Symantec je ponovno uhvaćen u nepropisnom izdavanju nelegitimnih HTTPS certifikata

Prije otprilike 16 mjeseci Symantec je uhvaćen u distribuciji nepropisno potpisanih kriptografskih certifikata koji bi se mogli koristiti za razbijanje HTTPS zaštite i dovođenje korisnika u opasnost. Sada je tvrtka ponovno uhvaćena da radi nešto slično - iako je takva aktivnost izravno protiv sporazuma koje je sklopila kad je prošli put uhvaćena da krši stvari.

HTTPS je sigurni komunikacijski protokol izgrađen na internetskom protokolu za prijenos hiperteksta (http) s vezom koja je šifrirana putem Transport Layer Security (TLS). Korištenje HTTPS-a za više od same web trgovine ubrzalo se posljednjih godina. Ali ta sigurnost vrijedi samo ako vaš sustav i web poslužitelj s kojim se povežete nisu ugroženi ili modificirani tako da prihvaćaju nevaljane certifikate kao da su valjani.

Postoji lanac povjerenja koji je svojstven softveru - korisnik vjeruje da njegov preglednik ispravno implementira HTTPS, za tijela koja izdaju certifikate (CA) koja izdaju certifikate mora se pretpostaviti da izdaju samo valjane, čime se osigurava da web stranice šalju valjani HTTPS certifikat, tom se certifikatu može izravno vjerovati. Tada se vjeruje da sam certifikat potvrđuje da se web mjesto koje posjećujete podudara s onim u certifikatu. Postoji više mjesta na kojima se ovaj lanac povjerenja može prekinuti na način koji ostavlja krajnjem korisniku nesposobnost da vjeruje da je naizgled valjana HTTPS veza koju su uspostavili ona koju su namjeravali uspostaviti.



Prema istraživaču sigurnosti Andrew Ayer, Symantec je izdao 108 vjerodajnica kršeći stroge industrijske smjernice kojih se organizacija složila pridržavati kad je napravila ovu pogrešku 2015. godine. Devet certifikata izdano je bez dopuštenja ili znanja naručenih narudžbi domene, dok je ostalih 99 bilo izdana tvrtkama s očito lažnim podacima, Ars Technicaizvještaji. Ayer piše: 'Sumnjam da postoji organizacija pod nazivom' test 'koja se nalazi u' test, Koreja '.

ssl-djela

Kako SSL radi, općenito govoreći.

To je problem jer, iako su certifikati opozvani, u većini slučajeva u roku od sat vremena od izdavanja preglednici ne moraju nužno provjeriti je li certifikat nedavno potvrđen za upotrebu. Postoje i tehnike koje autor zlonamjernog softvera može spriječiti da preglednik potvrdi potvrdu. U tom slučaju, drugi preglednici mogu se 'otvoriti', što znači da dopuštaju učitavanje podataka iz nedopuštenog izvora, umjesto da poslužitelj tretiraju kao neprijateljskog - ako se vjerodajnice certifikata ne mogu provjeriti na popisu opoziva u određenom vremenskom razdoblju .

Ovakva pitanja i poput Skandal sa sigurnosnom ribom Superfish od prije nekoliko godina, dio su zašto je nevjerojatno teško osigurati Internet. No, Symantec je i ranije prozivan zbog točno ove vrste narušavanja sigurnosti i prošli je put otpustio više zaposlenika. Zapravo je to razlog zbog kojeg se tvrtka uopće uhvatila - nakon zabrljanja 2015. godine, Google je od Symanteca tražio da evidentira svaki certifikat koji je izdao od jednog od svojih tijela za izdavanje certifikata.

Symantec je objavio sljedeću izjavu:

Symantec je saznao za moguću situaciju u vezi s pogrešnim izdavanjem certifikata koji uključuje Symantec i druga tijela za izdavanje certifikata. Trenutno prikupljamo činjenice o ovoj situaciji i pružit ćemo ažuriranje nakon što završimo istragu i provjerimo informacije.

Copyright © Sva Prava Pridržana | 2007es.com