id: Гость   вход   регистрация
текущее время 16:57 28/03/2024
Владелец: SATtva (создано 06/08/2010 18:40), редакция от 06/08/2010 18:40 (автор: SATtva) Печать
Категории: криптография, управление ключами, стандарты, x.509, ssl
http://www.pgpru.com/Новости/2010/ИнфраструктураУдостоверяющихЦентровX509ПатологоанатомическийОсмотр
создать
просмотр
редакции
ссылки

06.08 // Инфраструктура удостоверяющих центров X.509: патологоанатомический осмотр


Фонд электронных границ (EFF) готовит к публикации данные исследования EFF Observatory. В рамках инициативы была собрана полная коллекция всех публичных SSL-сертификатов веб-сайтов, доступных в Сети. Фонд обещает предоставить данные всем заинтересованным исследователям для дальнейшей работы (как в исходном виде, так и в виде базы SQL), но ряд увлекательных выводов можно сделать уже сейчас.


  • 16 миллионов хостов в IP-адресном пространстве слушают порт 443. SSL поддерживают 10.8 миллионов. Из них, 4.3 миллиона используют УЦ-заверенные сертификаты. Таким образом, большинство SSL-сертификатов — самоподписанные.
  • Помимо безусловного доверия огромному числу корневых УЦ, каждый браузер наследует от них доверие к столь же доверяемым промежуточным УЦ, принадлежащим коммерческим фирмам и правительственным организациям (например, Министерству внутренней безопасности США, Форду и Гуглу). Windows и Firefox наследуют доверие к 1482 таким сертификатам (651 организация).
  • Многие УЦ заверяют зарезервированные адреса. Например, 192.168.1.2.
  • Имя, заверенное наибольшее количество раз — "localhost" (шесть тысяч уникальных сертификатов). Многие УЦ подписывали его по несколько раз, явственно свидетельствуя, что не прочь выдавать дубликатные сертификаты (к тому же на локальные имена).
  • В базах браузеров присутствуют два [доверенных наравне с прочими] сертификата с 512-битовыми модулями RSA. Их ещё не факторизовали?
  • OpenSSL в Debian генерировал неслучайные ключи, но УЦ об этом, похоже, не знают: 530 таких ключей используются в SSL-сертификатах. Лишь 73 из них были аннулированы.

Источник: filehttp://www.eff.org/files/DefconSSLiverse.pdf


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— BrainSlug (18/08/2010 00:10)   профиль/связь   <#>
комментариев: 60   документов: 1   редакций: 1
апдейтится, не спрашивая пользователя

Use iceweasel, Luke.
Если броузер не обновляется, то он в любом случае уязвим для более серьёзных атак.

Щито? Браузер должен обновляться не с сайта mozilla.org, затягивая "новые красивые смайлы" и свистоперделки, а из главного/стабильного репозитория ващего дистра.
Для этого придуман debian stable, в котором, по идее, должны запиливаться найденные дыры.
# aptitude update
# aptitude upgrade
— Гость (18/08/2010 01:32)   <#>
Щито? Браузер должен обновляться не с сайта mozilla.org, затягивая "новые красивые смайлы" и свистоперделки, а из главного/стабильного репозитория ващего дистра.
"А быстро обновить список сертификатов у значительной части пользователей реально" – речь о Windows. Очевидно, о Windows. А Вы понтуетесь.

Было бы здорово, если бы в Debian'е патчили до безопасного состояния Firefox 1.5.
— unknown (18/08/2010 09:06, исправлен 18/08/2010 09:12)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Для этого придуман debian stable, в котором, по идее, должны запиливаться найденные дыры.

Неторопливо так, держа дыры открытыми в течении трёх лет, но зато честно предупреждая об этом. Кто ж знает, как патчить старые версии, когда новые версии файрфокса ушли вперёд далеко от Iceweasel и оттуда готовые патчи не стянуть. И так в массе программ. Безопасность трудно достичь стабилизацией, если апстрим не поддерживает старьё.



А быстро обновить список сертификатов у значительной части пользователей реально" – речь о Windows. Очевидно, о Windows. А Вы понтуетесь.

Сервис-паки?

— Гость (18/08/2010 19:51)   <#>
В тему про отношение сайтов к сертификатам. Да, лор может работать полностью через https если его принудить через HTTPS everywhere.
— Вий (22/02/2012 15:57)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Mozilla разослал удостоверяющим центрам письмо с требованием навести порядок с выпуском сертификатов.
Ссылка
— Гость (22/02/2012 17:11)   <#>
Вий, перестанье постить [:|||||\||||:]'ы.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3