Objevilo se několik kompromitovaných SSL/TLS certifikátů, mezi které patří třeba i certifikát addons.mozilla.org. Dotčené certifikáty jsou vydány od Usertrust Network, což je prodejce Comodo CA certifikátů. Comodo se nevyjádřilo, jak k tomu došlo nebo jak moc velká kompromitace v skutečnosti je. Vedou se spekulace o tom, že se jedná o útok na státní úrovni.
V posledních verzích Firefoxu, Chrome a Internet Exploreru jsou tyto certifikáty blokovány „natvrdo“ podle sériových čísel. Mozilla o incidentu napsala krátký blogpost. Největší problém s hierarchickým modelem certifikačních autorit je, že revokace certifikátů nefunguje příliš dobře a už vůbec není vymyšlen plán, co se stane, když je nějaká CA kompromitována úplně.
Několik tipů pro Firefox (Chrome má podobné rozšíření):
- Certificate Patrol – ukládá certifikáty a varuje když se neočekávaně změní nebo se změní certifikační autorita (ano, jsem si vědom ironie, že link vede na https://addons.mozilla.org)
- Perspectives – umí ověřit, že certifikát je viděn stejně z jiných míst internetu (je i verze pro SSH)
- about:config – nastavit
security.OCSP.requirena true vabout:config– tohle ale může „rozbít“ některé weby
V tomto kontextu může být zajímavý projekt monkeysphere.info – rozšíření hierarchického modelu o web-of-trust jak je znám z PGP.
ČLÁNKY DO MAILU