С июня взломано, по меньшей мере, 4 центра сертификации
 |
Руководитель технологических проектов в EFF Питер Экерсли собралинформацию путем исследования общедоступной документации, которуюцентры должны заполнять каждый раз, когда они отзываютSSL-сертификат. Начиная с июня четыре отдельных центра сертификациивключили еще одну причину для отмены одного или несколькихсертификатов - "взлом центра сертификации", как показываетисследование.
На данный момент DigiNotar, запятнавший свою репутацию центрсертификации, который обанкротился в связи с масштабным вторжениемв его сеть и пытался скрыть происходящее, а также связанная с нимголландская правительственная группа, являются единственнымицентрами, по имеющимся данным, отозвавшими сертификаты в последние4 месяца по причине взлома. С июня конкуренты StartSSL и GlobalSignсообщили о брешах в безопасности, но заявили, что проблемы былиустранены прежде, чем злоумышленники смогли подделатьсертификаты.
Осознание того, что по меньшей мере два других центрасертификации имеют бреши в безопасности, требующие отзывасертификатов, возобновило критику, преследующую SSL годами: приналичии более 600 центров сертификации, которым доверяют основныебраузеры, существует слишком много возможностей поражения. Как былопродемонстрировано подрывом DigiNotar, взлом всего лишь одногоцентра позволяет мошенникам заполучить цифровые сертификаты,которые Google Mail, Skype или другие сервисы используют дляшифрования гигабайтов "чувствительного" трафика и длядоказательства аутентичности своих серверов.
"Как в последнее время видно, протоколы безопасности могут бытьвесьма действенны в борьбе с атакующими, чьи время и мотивацияограничены, но их недостаточно в мире, где геополитические иделовые состязания все чаще разыгрываются путем атак набезопасность компьютерных систем", - написал Экерсли в сообщении,озаглавленном "Насколько сегодня защищен HTTPS? Как часто онатакуюется?" в своем блоге.
С тех пор, как EFF запустил свой проект SSL Observatory, Экерсливместе со своим коллегой Джесси Бернсом насчитали 14 центровсертификации, которые назвали атаки причиной отзыва 248сертификатов. Четыре центра, которые называли эту причину с июня,отозвали 55 сертификатов.
В e-mail Экерсли отказался назвать два неизвестных центрасертификации из страха, что может таким образом негативно повлиятьна дальнейшее желание этих центров предоставлять правдивуюинформацию в отчетах.
"Я считаю, что эти центры сертификации правильно поступили,назвав причину для отзыва сертификатов", - объяснил он. - "нетничего хорошего в том, что мы вынуждены доверять неограниченномуколичеству сертификатов для системы шифрования. Еще хуже, когдаинциденты, связанные с такими сертификатами, хранятся всекрете".
