Zalecana, 2024

Wybór redaktorów

Gigabyte ujawnia laptop do gier Aorus X5 z podwójnym GTX 965M

Gigabyte ujawnia laptop do gier Aorus X5 z podwójnym GTX 965M

MSI prezentuje laptop do gier GT80 Titan z mechanicznymi klawiszami

MSI prezentuje laptop do gier GT80 Titan z mechanicznymi klawiszami

Lenovo rozszerza ofertę produktów Jogi o modele 11in i 14in

Lenovo rozszerza ofertę produktów Jogi o modele 11in i 14in

Dom  /  IFA

Microsoft umieszcza na czarnej liście fałszywy certyfikat Windows Live SSL

  • 2024

SSL - czy akceptować wygasły certyfikat?

SSL - czy akceptować wygasły certyfikat?
Anonim

Microsoft opublikował aktualizację do czarnej listy certyfikatu SSL dla jednej z jej nazw domen, która została wydana nieuprawnionemu podmiotowi trzeciemu.

Nieprawidłowo wydany certyfikat może zostać użyty do podszywania się pod zawartość, ataków typu phishing lub wykonywania operacji pośrednich Przechwytywanie HTTPS przeciwko serwisom internetowym live.fi i www.live.fi, Microsoft poinformował w poniedziałek o bezpieczeństwie

Firma zaktualizowała listę zaufanych certyfikatów (CTL) zawartą w systemie Windows w celu zablokowania fałszywego certyfikatu. Systemy z systemem Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 i Windows Server 2012 R2 otrzymają aktualizację automatycznie i przejrzyście.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Systemy Windows Vista, Windows 7, Windows Server 2008 i Windows Server 2008 R2 również zostaną zaktualizowane automatycznie, ale tylko wtedy, gdy wcześniej zainstalowały aktualizacje KB2677070 lub KB2813430, które dodały automatyczny aktualizator dla odwołanych certyfikatów.

Użytkownicy systemów, które nie korzystają • jeśli ten aktualizator jest zainstalowany lub klienci z systemem Windows Server 2003, powinien zainstalować nowo wydaną aktualizację KB2917500, aby unieważnić nieuczciwy certyfikat live.fi.

Certyfikat został wydany przez firmę Comodo po tym, jak strona nieuprawniona mogła zarejestrować konto e-mail domena live.fi używająca "uprzywilejowanej nazwy użytkownika", a następnie używała konta e-mail do żądania certyfikatu, zgodnie z Microsoft.

Artykuł pomocy Comodo stwierdza, że ​​przed certyfikatem jest w przypadku konkretnej nazwy domeny, osoba żądająca certyfikatu musi udowodnić własność lub kontrolę nad tą domeną. "Sprawdzanie kontroli domeny" można wykonać na kilka sposobów, z których jeden odbywa się poprzez e-mail wysłany na jeden z kilku ogólnych adresów e-mail typu admin: admin @, administrator @, postmaster @, hostmaster @ lub webmaster @.

It's nie jest jasne, która z tych nazw użytkowników udało się zarejestrować nieupoważnionemu podmiotowi w domenie live.fi. Incydent ten powinien jednak stanowić ostrzeżenie dla wszystkich właścicieli domen, że takie adresy typu administratora powinny być ściśle kontrolowane.

Nawet jeśli użytkownicy zastosują aktualizację Microsoft, nie zmniejszy to całkowicie ryzyka związanego z tym certyfikatem. Dzieje się tak dlatego, że nie wszystkie aplikacje korzystają z listy zaufanych certyfikatów Windows do sprawdzania certyfikatów witryny.

Przeglądarki takie jak Internet Explorer i Google Chrome, ale Mozilla Firefox ma na przykład własny główny magazyn certyfikatów i czarną listę, które Mozilla niezależnie aktualizuje.

Incydent ten po raz kolejny podkreśla, że ​​po wydaniu certyfikatu SSL błędnie lub oszukańczo, działania nie można łatwo cofnąć. Chociaż wydający certyfikat urząd certyfikacji może oznaczyć certyfikat jako unieważniony, proces sprawdzania takich odwołań jest w większości przypadków przerwany.

Istnieją dwa główne sposoby sprawdzenia, czy certyfikat został unieważniony: poprzez sprawdzenie odwołania certyfikatu listy (CRL) publikowane okresowo przez urzędy certyfikacji lub przy użyciu protokołu OCSP (Online Certificate Status Protocol), który umożliwia sprawdzanie stanu odwołania certyfikatu w czasie rzeczywistym poprzez wysyłanie zapytań do serwerów OCSP obsługiwanych przez urzędy certyfikacji. Występują problemy z obydwoma podejściami.

Przeglądarki zezwalają na kontynuowanie połączeń SSL, jeśli sprawdzenia CRL lub OCSP zakończą się niepowodzeniem z powodu błędu sieci, ponieważ takie sprawdzenia mogą się nie udać z różnych powodów - na przykład serwery urzędów certyfikacji są wyłączone lub występuje przeciążenie sieci po drodze do nich. Nazywa się to podejściem "miękkiego błędu".

Problem polega na tym, że atakujący w środkowej fazie mogą także blokować kontrole CRL i OCSP, co czyni mechanizm bezużytecznym. Z tego powodu dostawcy przeglądarek muszą ręcznie zamieniać na czarną listę znanych fałszywych certyfikatów, a następnie przesłać aktualizacje czarnej listy do przeglądarek.

Microsoft umieszcza na czarnej liście fałszywy certyfikat Windows Live SSL

Microsoft umieszcza na czarnej liście fałszywy certyfikat Windows Live SSL

Nieautoryzowana strona uzyskała certyfikat SSL dla domeny Live.fi Microsoft.

Microsoft umieszcza na czarnej liście najnowsze nieuczciwe certyfikaty SSL, sankcje za mull Mozilli dla emitenta

Microsoft umieszcza na czarnej liście najnowsze nieuczciwe certyfikaty SSL, sankcje za mull Mozilli dla emitenta

Microsoft unieważnił zaufanie do pośredniego certyfikatu CA, który został użyty do wydania nieautoryzowane certyfikaty dla witryn Google

Popularne posty

Przegląd HP TouchSmart TM2-101ea
CES

Przegląd HP TouchSmart TM2-101ea

  • 2024-05-19
Recenzja Samsunga R780: NP-R780-JS02UK
CES

Recenzja Samsunga R780: NP-R780-JS02UK

  • 2024-05-19
Recenzja Lenovo IdeaPad U450p
CES

Recenzja Lenovo IdeaPad U450p

  • 2024-05-19

Popularne kategorie

Top