06.08 // Инфраструктура удостоверяющих центров X.509: патологоанатомический осмотр
Фонд электронных границ (EFF) готовит к публикации данные исследования EFF Observatory. В рамках инициативы была собрана полная коллекция всех публичных SSL-сертификатов веб-сайтов, доступных в Сети. Фонд обещает предоставить данные всем заинтересованным исследователям для дальнейшей работы (как в исходном виде, так и в виде базы SQL), но ряд увлекательных выводов можно сделать уже сейчас.
- 16 миллионов хостов в IP-адресном пространстве слушают порт 443. SSL поддерживают 10.8 миллионов. Из них, 4.3 миллиона используют УЦ-заверенные сертификаты. Таким образом, большинство SSL-сертификатов — самоподписанные.
- Помимо безусловного доверия огромному числу корневых УЦ, каждый браузер наследует от них доверие к столь же доверяемым промежуточным УЦ, принадлежащим коммерческим фирмам и правительственным организациям (например, Министерству внутренней безопасности США, Форду и Гуглу). Windows и Firefox наследуют доверие к 1482 таким сертификатам (651 организация).
- Многие УЦ заверяют зарезервированные адреса. Например, 192.168.1.2.
- Имя, заверенное наибольшее количество раз — "localhost" (шесть тысяч уникальных сертификатов). Многие УЦ подписывали его по несколько раз, явственно свидетельствуя, что не прочь выдавать дубликатные сертификаты (к тому же на локальные имена).
- В базах браузеров присутствуют два [доверенных наравне с прочими] сертификата с 512-битовыми модулями RSA. Их ещё не факторизовали?
- OpenSSL в Debian генерировал неслучайные ключи, но УЦ об этом, похоже, не знают: 530 таких ключей используются в SSL-сертификатах. Лишь 73 из них были аннулированы.
Источник: http://www.eff.org/files/DefconSSLiverse.pdf
комментариев: 60 документов: 1 редакций: 1
Use iceweasel, Luke.
Щито? Браузер должен обновляться не с сайта mozilla.org, затягивая "новые красивые смайлы" и свистоперделки, а из главного/стабильного репозитория ващего дистра.
Для этого придуман debian stable, в котором, по идее, должны запиливаться найденные дыры.
# aptitude update
# aptitude upgrade
Было бы здорово, если бы в Debian'е патчили до безопасного состояния Firefox 1.5.
комментариев: 9796 документов: 488 редакций: 5664
Неторопливо так, держа дыры открытыми в течении трёх лет, но зато честно предупреждая об этом. Кто ж знает, как патчить старые версии, когда новые версии файрфокса ушли вперёд далеко от Iceweasel и оттуда готовые патчи не стянуть. И так в массе программ. Безопасность трудно достичь стабилизацией, если апстрим не поддерживает старьё.
Сервис-паки?
комментариев: 510 документов: 110 редакций: 75
Ссылка