Hlavní navigace

Názor k článku Budou mít všechny phishingové weby platný certifikát? od Filip Jirsák - Certifikační autorita samozřejmě nemůže kontrolovat obsah webu, už...

  • Článek je starý, nové názory již nelze přidávat.
  • 9. 12. 2015 8:17

    Filip Jirsák

    Certifikační autorita samozřejmě nemůže kontrolovat obsah webu, už jen proto, že se obsah webu může během vteřiny změnit a na škodlivé části nemusí vést ze samotného webu žádný odkaz.

    Problém je v tom, že DV certifikáty potvrzují vlastnictví domény, ale autority včetně LE často ověřují jen vlastnictví web serveru. V normálních situacích je vlastník tentýž (nebo vlastník webu pracuje pro vlastníka domény), ale v případě napadených webů je vlastníkem web serveru v drtivé většině případů někdo jiný, než vlastník domény.

    U jiných autorit se na to může přijít a po následné ruční kontrole se vystavení certifikátu zablokuje, v případě LE asi taková kontrola neproběhne, navíc je i pro útočníka mnohem snazší takový certifikát získat.