Mozilla a Google blokují podvodné certifikáty od CNNIC

24. 3. 2015

Společnosti Mozilla a Google informují na svých blozích věnovaných bezpečnosti o podvodných certifikátech vydaných pro několik svých domén. Podvodné certifikáty byly vydány čínskou certifikační autoritou CNNIC (China Internet Network Information Center), která je považována za důvěryhodnou ve většině webových prohlížečů a operačních systémech.

Google i Mozilla na tento problém zareagovaly přidáním dotyčných certifikátů do CRLSet respektive OneCRL svých webových prohlížečů. OneCRL, metoda pro ověření validity certifikátů, však bude ve Firefoxu až od verze 37 a vyjít má 31. března.

Zdroj: (Google Security Blog, Mozilla Security Blog)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

24. 3. 2015 21:39

ivoszz (neregistrovaný)

zda by certifikační autorita, která zcela zjevně poruší pravidla ověřování a umožní vydání falešných certifikátů neměla být trvale odstraněna ze seznamu důvěryhodných certifikačních autorit.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 3. 2015 8:00

Johny (neregistrovaný)

Tak sem si ji smazal ...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 3. 2015 9:46

j (neregistrovaný)

Ona existuje nejaka "duveryhodna" CA? Ja zadnou takovou neznam, jen vim, ze sebou jak system, tak prohlizece tahaji seznam neceho, cemu jako nekdo pry duveruje. Osobne o 10 radu vic duveruju selfsigned certifikatu, protoze ten si sam ulozim, a okamzite vim, kdyz je jinej.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 3. 2015 10:29

andrej (neregistrovaný)

pri selfsigned mas problem s distribuciou, musis riesit bezpecne odovzdanie public casti kluca resp. aspon jeho odtlacku co nemusi byt uplne trivialna zalezitost.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 3. 2015 15:08

Palo (neregistrovaný)

Skus mi ozrejmit preco PUBLIC cast kluca musi byt odovzdavana BEZPECNE? Nie je ona PUBLIC preto ze moze byt PUBLIC/VEREJNA?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 3. 2015 15:43

Ondra Satai Nekola

Zlatý podporovatel

Nejde o utajeni ale o integritu a autenticitu. (Predstav si Man in the Middle.)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 3. 2015 16:14

Palo (neregistrovaný)

Predstavujem si, co dalej?
Ja rozumiem na co sluzia certifikacne autority, overia za mna identitu, ze proste ten public key co som dostal od JozaF je naozaj od JozaF, inac mu musim zavolat o opytat sa ho na hashkod kluca napriklad aby som to naozaj overil. Ale zverejnit PUBLIC key ako to opisuje ten na koho som reagoval je uplne jednoduche, mozne a bezpecne.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
26. 3. 2015 8:53

SB (neregistrovaný)

O bezpečnost u veřejného klíče nejde. Když bude na 5 zdrojích viset veřejný klíč, který o sobě tvrdí, že je ten pravý od Joža F., tak který to potom bude? Takže i zdroj veřejného klíče musí být důvěryhodný.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 3. 2015 13:03

Lael Ophir (neregistrovaný)

To je (nechtěně vtipné) nepochopení celé věc. Když jdete na web řekněme alza.cz a chcete tam nakoupit, je vám self-signed certifikát toho webu na nic. Vůbec totiž netušíte, jestli ho vystavil opravdu majitel toho webu, nebo se vám někdo snaží podstrčit falešný self-signed certificate. Certifikační autority vystaví certifikát na základě doložené identity zákazníka. Extended Validation Certificate (ten co probarví URL bar broweru na zeleno) navíc vyžaduje důkladné ověření právnické osoby.

Jinými slovy certifikační autority jsou tu od toho, abyste věděl, že certifikát opravdu patří tomu na koho je vystavený. Problém nastává ve chvíli, kdy certifikační autority vystavují certifikáty bez důkladného ověření náležitostí. Pokud si například Jožo nechá vystavit certifikát www.microsoft.com, kde první 'o' je z azbuky (to se opravdu stalo), tak certifikační autorita selhala.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 3. 2015 12:16

Milan Keršláger

Bohužel se v tom byznysu s certifikáty točí hodně peněz, takže to nebude tak horký. Taky má většina CA v úložištích více klíčů. A konečně Čína odposlouchává všechny své občany bez skrupulí stejně jako Rusko, takže to není nic zvláštního...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 3. 2015 12:40

Worker (neregistrovaný)

Zabudol ste na USA a Nemecko, ktori tiez odpocuvaju vsetkych a vsetko.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 3. 2015 12:23

intermediate (neregistrovaný)

Neni to primo vydane CNNIC-em, ale od intermediate CA MCS Holdings. MCS Holdings to pouzila v MitM proxy misto aby vydavala certifikaty "normalnim zpusobem".

Zasílat nově přidané názory e-mailem

Líbí

Nelíbí

Michal Strnad

Michal Strnad pracuje ve sdružení CESNET, provozující národní síť vědy a výzkumu, Akademii věd České republiky a jako redaktor na serveru Root.cz. Kromě počítačů rád běhá, kuchtí a čte vše, co se mu dostane pod ruku.

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Michal Strnad

Témata:

Mozilla a Google blokují podvodné certifikáty od CNNIC

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Michal Strnad

Témata:

Dále u nás najdete

Motání hlavy může být způsobeno problémy s krčními tepnami

Intolerance lepku byla po staletí záhadou. Vysvětlil ji až hladomor

Češi spoluvyvíjí technologii, která může změnit mobilní sítě

Plavání s hlavou nad vodou vám ubližuje

Více než polovina žen v porodnici dostává klystýr

Příčina obřího IT výpadku? Chyba aktualizace

Výrobce koupelnového vybavení Laufen čeká oživení poptávky

Allegro v ČR spouští výdejní boxy, WE|DO se mění na One by Allegro

Propagační leták v Canvě zvládnete za pár minut

Impregnace škodí životnímu prostředí i zdraví

S haluxy můžete mít boty na pojišťovnu

Popálená tvář, zlomená páteř. Elektřina mrzačí i bez doteku drátů

Google už nechce rušit cookies třetích stran v Chromu

Musk: Humanoidní roboty začne Tesla používat už příští rok

Separační úzkost je normální součástí vývoje dítěte

Revmatická horečka už nepatří mezi běžná onemocnění

CrowdStrike: slabá představivost a problém lidského faktoru

Kolik a čeho mají vypít při sportu v horkém létě

Pořad 168 hodin v České televizi končí

Praktické tipy pro fyzické osoby, jak ušetřit na daních