Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в удостоверяющем центре SSL.com, позволявшая получить сертификат для чужого домена"	+/–
Сообщение от opennews (??), 22-Апр-25, 09:43
В удостоверяющем центре SSL.com... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63116
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+2 +/–
Сообщение от Аноним (1), 22-Апр-25, 09:43
Выпилил из списка доверенных, спасибо.
Ответить | Правка | Наверх | Cообщить модератору

	3. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+3 +/–
	Сообщение от User (??), 22-Апр-25, 09:47
	Вот даже интересно - выкинут их из централизованно обновляющихся списков CA или нет? Прям отличная проверка системы получится :).
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+7 +/–
	Сообщение от C (?), 22-Апр-25, 10:25
	Нет, конечно. Как будто в первый раз. Был уже Trustwave, который не стесняясь выдавал сертификат для mitm за копейку, и ничего. Извинились, сказали, что больше не будут, все им поверили на слово. Это же проверенные центры сертификации, а не простой васян, им можно.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+2 +/–
	Сообщение от User (??), 22-Апр-25, 10:45
	> Нет, конечно. Как будто в первый раз. > Был уже Trustwave, который не стесняясь выдавал сертификат для mitm за копейку, > и ничего. Извинились, сказали, что больше не будут, все им поверили > на слово. > Это же проверенные центры сертификации, а не простой васян, им можно. Ну, start.com с diginotar ажно обанкротились, anssi французский выпилили до устранения нарушений, потом вернули, китайцев вот еще каких-то окологосударственных выкинули из жужла с мурзилой помнится...
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	–2 +/–
	Сообщение от Аноним (1), 22-Апр-25, 11:16
	>China Financial Certification Authority В списке. >CNIC Был в списке, пока я его вручную не удалил. В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t... и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически считаться недостойными доверия. Не просто по какому-то формальному критерию, а потому что государство на то и государство, что оно может энфорсить свою волю порабощённому скоту на оккупированной им территории.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+3 +/–
	Сообщение от User (??), 22-Апр-25, 12:02
	>>China Financial Certification Authority > В списке. >>CNIC > Был в списке, пока я его вручную не удалил. Ну вот можешь MCS holdings поискать, ага. > В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t... > и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса > через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически > считаться недостойными доверия. Не просто по какому-то формальному критерию, а потому > что государство на то и государство, что оно может энфорсить свою > волю порабощённому скоту на оккупированной им территории. Оу. Верующий в то, что где-то государство не имеет контроля за операционной деятельностью бизнеса? Доброе пожаловать в реальный мир, Нео - последние 15 лет были тяжелыми для этих убеждений...
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	–1 +/–
	Сообщение от Аноним (1), 22-Апр-25, 12:48
	>Оу. Верующий в то, что где-то государство не имеет контроля за операционной деятельностью бизнеса? Доброе пожаловать в реальный мир, Нео - последние 15 лет были тяжелыми для этих убеждений... Конечно же, везде имеет. Но где-то через коррупцию как она есть. А где-то в добавок через коррупцию институционализованную. Любая институционализация ставит крест на возможности "а может быть они хорошие, а мы их почём зря грязью поливаем!"
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+2 +/–
	Сообщение от User (??), 22-Апр-25, 13:32
	>>Оу. Верующий в то, что где-то государство не имеет контроля за операционной деятельностью бизнеса? Доброе пожаловать в реальный мир, Нео - последние 15 лет были тяжелыми для этих убеждений... > Конечно же, везде имеет. Но где-то через коррупцию как она есть. А > где-то в добавок через коррупцию институционализованную. Любая институционализация ставит > крест на возможности "а может быть они хорошие, а мы их > почём зря грязью поливаем!" В наше время не надо ни "коррупции" ни "институционализации" - достаточно просто сказать: "Вы не понимаете, ЭТО ДРУГОЕ!" - и вот уже священное право частной собственности не такое священное, права и свободы личности (не) относится к вполне определенным личностям (Достаточно в какую-нибудь базу на Кубе отвезти - и нету ни "свободы", ни "прав", да и "личности" может уже и не оказаться) - и главное - всем всё окнорм. Но Китай, РАЗУМЕЕТСЯ - "Это другое!"
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (1), 22-Апр-25, 16:49
	Китай - это действительно другое. В количественном плане, разумеется, не в качественном.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+1 +/–
	Сообщение от YetAnotherOnanym (ok), 22-Апр-25, 15:34
	> через коррупцию институционализованную. Ага, ага. Называется "лоббизм". А ещё есть такая форма институционализованной коррупции - турне с публичными лекциями для отставных политиков и издание мемуаров. Или просто назначение на высокие посты человека, ещё вчера заседавшего в правлениях и советах директоров корпораций и имеющего неплохой портфель акций, которые он, конечно же, отдаёт в "слепой траст" стороннему управляющему.
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

	22. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	–1 +/–
	Сообщение от С (?), 22-Апр-25, 12:25
	>В юрисдикциях, где есть законы вроде https://en.wikipedia.org/wiki/National_Intelligence_Law_of_t... и/или где государство имеет прямой контроль за операционной деятельностью "частного" бизнеса через парткомитеты ил инфе вормы коррупции, вообще все организации должны автоматически считаться недостойными доверия. Это всё так, но даже без официального государственного контроля есть огромный стимул выдавальщику сертификатов поработать "налево" за хорошие деньги и хорошие условия (в том числе и от государства). Есть структуры, которые too big to fail, тот же letsencrypt или globalsign. Никто не мешает им направо и налево выписывать левые сертификаты, и если это вскроется - максимум их пожурят, а они в ответ пообещают никогда так больше не делать. Потому-что удалить весь LE из браузера нельзя, весь интернет отвалится. Верить же в честность CA (и не только) в наше время могут только идеалисты. Идея root CA родилась тогда, когда компьютерный мир был теснее, однороднее и проще.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	26. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	–1 +/–
	Сообщение от Аноним (1), 22-Апр-25, 13:00
	Я уже сказал: справедливость роли не имеет. Коммерческие бизнесы - это участник азартной игры. Азартная игра - фундаментально несправедлива, как и реальность. Всегда будут победители и проигравшие. Если ты вступил в игру, максимум на что ты можешь рассчитывать - это на то, что кости будут сбалансированы, карты - не краплёные, а рулетка - не модифицирована. Это не гарантировано, это ты сам должен это обеспечивать, а не на милость крупье рассчитывать. Поэтому нужны жёсткие некоррупционные правила как вписывания в список, так и выписывания из него: 1. единственный случай компрометации - выписывание из списка 2. нахождения под юрисдикцией с институционализированной коррупцией и обязательным предательством,  а равно с любыми другими законами, делающими невозможным соблюдение правил - выписывание из списка 3. принадлежность олигархам или государству - вон из списка 4. несоблюдение хоть одного из технических требований последней версии - вон из списка. А основание для вписывание: публично проверяемое соответствие всем требованиям, которые в принципе можно проверить публично. И проверяемое приватно соответствие остальным требованиям с публичной демонстрацией но с последующим закрытием, если это требуют бизнес-интересы. Аудиторы проверяют не сами соответствия требованиям, а что после закрытия прозрачности в скрытой от всеобщего обозрения части всё делается в принципе абсолютно точно так же как и когда она была открыта, только на реальных данных, людях и организациях.
	Ответить | Правка | Наверх | Cообщить модератору

	36. Скрыто модератором	+/–
	Сообщение от Аноним (36), 22-Апр-25, 14:53
	Только для предлагаемой системы нужна некая самоуправляемая структура, та самая администрация казино, которая соблюдает свои принципы, и не зависит ни от кого. Чтобы список вести беспристрастно. В теории раньше так и предполагалось, только негласно. Но сейчас это невозможно, так как, во-первых, владельцы браузеров сами - зависимые от коммерции и властей структуры, а во-вторых - даже при наличии неких идейных CA-администраторов, они вылетят при первой попытке выгнать letsencrypt. Их структуру просто начнут игнорировать, так как она всем ломает работу, и сделают новую структуру, которая лояльнее к CA и интересам властей с бизнесом. А юзеры только хлопать от счастья будут, ведь наконец заработали их любимые сайты, которые поломали ранее какие-то тупые гики. Решить этот вопрос можно, гипотетически, объяснив большей части юзеров важность trust в экосистеме - чтобы сами требовали гнать подставившихся CA. Лет 20 назад так и было. Сейчас же массовый юзер, в среднем, и читает-то с трудом, какие уж объяснения про сертификаты вообще.
	Ответить | Правка | Наверх | Cообщить модератору

	43. Скрыто модератором	+/–
	Сообщение от Аноним (1), 22-Апр-25, 16:51
	Как бы можно вообще просто TLS отменить. И подвести это под климатобесие.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от YetAnotherOnanym (ok), 22-Апр-25, 15:49
	"Жёсткие некоррупционные правила" существуют так же, как и справедливость.
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	46. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (1), 22-Апр-25, 17:02
	>идеалисты идио...лис..ты
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	47. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (47), 22-Апр-25, 17:13
	https://www.linux.org.ru/forum/admin/15104732?cid=15113619 https://www.linux.org.ru/forum/admin/15104732?cid=15113671
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	38. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+1 +/–
	Сообщение от YetAnotherOnanym (ok), 22-Апр-25, 15:38
	> National_Intelligence_Law_of_the_People's_Republic_of_China Вялотекущий набег политботов на опеннет продолжается.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	44. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	–1 +/–
	Сообщение от Аноним (1), 22-Апр-25, 16:53
	Что, опять хозяина твоего хозяина обижают? Тебе то что? Есть же правило: "вассал моего вассала - не мой вассал".
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (1), 22-Апр-25, 10:09
	Тем временем смузихлёбы выпилили из KDE ненужный апплет настройки: https://bugs.kde.org/show_bug.cgi?id=482585 > Nate Graham 2024-03-07 17:23:07 UTC > Indeed, and at the moment this is intentional. We may end up making a new one at some point in the future, but no guarantees. Не на Kirigami написано, поэтому - ффтопку! https://github.com/KDE/kdelibs/blob/KDE/4.14/kio/kssl/ksslin... И вообще, негоже всякому быдлу грязными руками в кого надо список сертификатов лезть! А смузихлёбов всё устраивает, им вообще это не нужно, поэтому на своём навязываемом project policy kirigami этот апплет переписывать они не будут. Поэтому - "no guarantees".
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	15. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (15), 22-Апр-25, 11:21
	Что-то сплошная деградация пошла в кедах, кого они там набрали в команду?
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Анон1110м (?), 22-Апр-25, 11:49
	Наверное яваскриптёров.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	–1 +/–
	Сообщение от Аноним (1), 22-Апр-25, 13:12
	Ну так QML-обработчики событий как раз на нём и пишутся...
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от YetAnotherOnanym (ok), 22-Апр-25, 15:41
	И больше ни на чём обработчик QML написать нельзя?
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (33), 22-Апр-25, 13:18
	In what apps? The reason we removed this was because the settings were generally not respected by most 3rd-party apps. --- У браузеров свои cert stores, больше особо никто не пользовал. Кто очень хочет, может ручками поправить ksslcalist.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	45. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (1), 22-Апр-25, 16:58
	Сами кедовские приложения использовали как минимум. Им ведь надо как-то виджеты и прочие свистоперделки из инета качать.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Шарп (ok), 22-Апр-25, 13:03
	>Выпилил из списка доверенных Насколько же нужно быть душнилой в шапочке из фольги, чтобы заниматься выпиливанием сертификатов.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	30. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+2 +/–
	Сообщение от Аноним (1), 22-Апр-25, 13:13
	Горжусь тем.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (32), 22-Апр-25, 13:17
	Ты уже добавил себе национальный сертификат?
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

2. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+1 +/–
Сообщение от Аноним (2), 22-Апр-25, 09:46
Эх, не успел получить сертификат для гугла и яндекса :(
Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (1), 22-Апр-25, 09:53
	Ваши "ТСПУ" не осилят расшифровку TLS на потоке.
	Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
Сообщение от Аноним (1), 22-Апр-25, 09:48
>And since learning of that flaw, SSL.com has revoked 11 wrongly issued certificates – one of them for Alibaba. >Предположительно, в выявленных случаях отсутствуют признаки вредоносной активности и из 11 пока отозван только один сертификат, полученный исследователем для сайта aliyun.com. Чудеса перевода.
Ответить | Правка | Наверх | Cообщить модератору

	6. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+1 +/–
	Сообщение от Аноним (6), 22-Апр-25, 10:03
	Смотрите не статью на theregister.com, а первоисточник: https://bugzilla.mozilla.org/show_bug.cgi?id=1961406#c6 там только в одном сертификате из списка стоит статус "Revoked", у остальных "Not Revoked" и примечание "list of all affected certificates (the original reported certificate and the 10 additional identified certificates)".
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (11), 22-Апр-25, 10:36
	Ответ от представителя SSL.com говорит, что те 10 сертификатов выданы корректно и не являются мошенничеством https://bugzilla.mozilla.org/show_bug.cgi?id=1961406#c7 "Historical evidence shows that, with the exception of one certificate (https://crt.sh/?id=16452546552), SSL.com did issue previous certificates using compliant DCV evidence during the initial issuance of the certificates which point to non-fraudulent mis-issuances."
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	13. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (15), 22-Апр-25, 10:56
	Так они и признаются. После историй с комодо, про которые все оперативно забыли (а часть и вовсе осталась незамеченными), воспринимать этот бизнес всерьёз невозможно. Тупо гребут бабло с "доверчивых", letsencrypt ничем не хуже.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+1 +/–
	Сообщение от нах. (?), 22-Апр-25, 12:26
	Что то, что другое - DV сертификаты. Не хуже он только для тех кто слепо доверяет васянскому автоскачивающемуся с другого ваянского стора самообновляющемуся скрипту или его подобиям. А кто с таким связываться не хочет и бережет свои ключи от лишних корявых скриптов - может за три копейки получить годовой dv при минимальных трудозатратах. Но над этим работают, чтоб тоже не смогли. А еще, внезапно, бывают ev сертификаты. Безобразие, конечно, что до сих пор бывают. К счастью, над этим тоже умные ребята поработали, и лопоухому юзверю совершенно никак не видно - тут очередной вон "email для подтверждения" был использован, или все же - предъявлены документы, что домен реально принадлежит тем кому написано и человек, пришедший за сертификатом - имеет на это права.
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (1), 22-Апр-25, 11:30
	Это не важно. Если вам нужна безопасность - то малейшее нарушение фирмой требуемых свойств, неважно, по её ли вине, или не по её - это просто сигнал на отбраковку. Справедливости не существует в принципе, поэтому абсолютно не важно, что это несправедливо. Будем честны, те кто бизнесы организуют - они там не за справедливостью, а за баблом, поэтому такая grim trigger-политика также и этически обоснована.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	17. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	–1 +/–
	Сообщение от Аноним (1), 22-Апр-25, 11:30
	Важно, что эффект нужный можно достигнуть так. Весь смысл PKI-экосистемы (да и предпринимательства в целом) в том, что это как игра в казино. Ты ставишь бабло - а дальше как шарик приземлится. Прогресс достигается эволюцией, а эволюция - это отбраковка неприспособленных. Запомните: полезные вещи фундаментально редки. Потому что не-редкие сигналы негэнтропии не несут. А негэнтропия - это неравновесность, а неравновесность - это фундамент всех происходящих во Вселенной процессов. Закон Старжона ("90% всего - говно") это просто другая форма констатаци этого свойства реальности. Как это относится к сертификатам? А просто.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (36), 22-Апр-25, 12:29
	Нет строгого механизма по реализации отбраковки. Конкретный юзер может быть сколь угодно строгим, и удалять по первому чиху, но остальные редко чешутся и волнуются. Большинство не понимает да и не должно понимать это всё. Строгий юзер в меньшинстве. Авторы браузеров сами являются бизнесами, и им trigger-политика не нужна.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	27. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
	Сообщение от Аноним (1), 22-Апр-25, 13:02
	Всё так. Им нужна коррупция, когда wannabe-CA им заносят и становятся настоящими CA.
	Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+2 +/–
Сообщение от freehck (ok), 22-Апр-25, 10:24
Было бы здорово ещё узнать имя исследователя, и о том, как в SSL.com его отблагодарили за то, что он помог им в устранении такой дырени.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
Сообщение от Аноним (1), 22-Апр-25, 13:15
>Участник 'freehck' запретил публикацию ответов для ника 'Аноним'. Надеюсь, что не вызовом в суд.
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+1 +/–
Сообщение от Аноним (41), 22-Апр-25, 15:52
алё, ну где там сертификейт трансперенс?
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в удостоверяющем центре SSL.com, позволявшая полу..."	+/–
Сообщение от Жироватт (ok), 22-Апр-25, 17:31
Тут слишком много слова "коррупция". Бегункам начали снова заносить грантики?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема