KL FC Bot 189 Опубликовано 29 августа, 2018 Share Опубликовано 29 августа, 2018 HTTPS-сертификаты — одна из основ безопасности в Интернете. Однако с ними все не так гладко, как хотелось бы. Мы уже говорили о том, почему существующая система не всегда обеспечивает безопасность на стороне пользователей. Теперь обсудим, что может пойти не так на стороне владельцев сайтов. Два действительных сертификата для одного и того же домена За регистрацию доменов и выдачу HTTPS-сертификатов, как правило, отвечают разные организации. Поэтому срок действия регистрации домена и сертификата совершенно не обязательно совпадает. В итоге возникают ситуации, когда и бывший, и текущий владельцы одновременно имеют по действующему сертификату для одного и того же домена. Что тут может пойти не так, и насколько часто данная проблема встречается в реальной жизни? На конференции DEF CON 26 исследователи Иэн Фостер и Дилан Эйри представили доклад, посвященный данной проблеме. Из него следует, что а) неприятностей на самом деле даже больше, чем может показаться на первый взгляд, и б) встречается данная проблема на удивление часто. Наиболее очевидная из неприятностей, которые могут случиться, когда у кого-то еще есть действующий сертификат на принадлежащий вам домен — это атака типа «человек посередине» на пользователей вашего сайта. Используя базу сертификатов проекта Certificate Transparency, Фостер и Эйри провели анализ и обнаружили, что пересечение сертификатов встречается в 1,5 миллиона случаев — это, на секундочку, почти 0,5% всего Интернета. Причем для четверти из этих пересечений предыдущий сертификат все еще действует — то есть 375 тысяч доменов уязвимы для атаки «человек посередине». Читать далее >> Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.