06 kwietnia 2010
Firefox zawiera certyfikat RSA Security 1024 V3, który nie należy wcale do RSA... [Aktualizacja]
wtorek, kwietnia 06, 2010 | Autor:
\m/ojtek
W skład otwartej biblioteki NSS (Network Security Services), która implementuje między innymi protokoły SSL oraz TLS, wchodzi certyfikat nadrzędny (ang. root certificate) RSA Security 1024 V3. Nie byłoby w tym nic dziwnego, gdyby nie fakt, że organizacja RSA Security zaprzeczyła temu, jakoby ten certyfikat rzeczywiście posiadała. Z Network Security Services korzysta między innymi Mozilla Firefox, w efekcie czego, każdy z użytkowników tego programu ma w swym systemie wspomniany certyfikat niewiadomego pochodzenia.
Informacje o podejrzanym certyfikacie upubliczniła niedawno Kathleen Wilson. Odpowiedni raport pojawił się już również w ramach serwisu Bugzilla. W całej sprawie chodzi o certyfikat RSA Security 1024 V3:
Cała sprawa jest bardzo tajemnicza i budzi wiele emocji. Przede wszystkim jak to możliwe, że certyfikat ten jest przez Mozillę dystrybuowany? Po drugie, czy certyfikat ten nie był przypadkiem przez kogoś wykorzystywany do fałszywego poświadczania tożsamości serwerów internetowych? Wszystkie klucze publiczne podpisane wspomnianym certyfikatem typu root certificate były bowiem przez cały czas traktowane przez przeglądarkę Firefox jako zaufane...
Przypomnijmy, że Mozilla Firefox (podobnie do innych popularnych przeglądarek) ostrzega nas w przypadku odwiedzenia niezaufanej witryny za pomocą odpowiedniego komunikatu:
Natomiast, jeśli klucz publiczny serwera został podpisany jednym ze znanych Firefoksowi certyfikatów nadrzędnych, połączenie zostanie prawidłowo nawiązane.
Informacje o podejrzanym certyfikacie upubliczniła niedawno Kathleen Wilson. Odpowiedni raport pojawił się już również w ramach serwisu Bugzilla. W całej sprawie chodzi o certyfikat RSA Security 1024 V3:
- OU = RSA Security 1024 V3
- O = RSA Security Inc
- Valid From: 2/22/01
- Valid To: 2/22/26
- SHA1 Fingerprint: 3C:BB:5D:E0:FC:D6:39:7C:05:88:E5:66:97:BD:46:2A:BD:F9:5C:76
Problem polega zaś na tym, że niemożliwe jest ustalenie jego obecnego, prawowitego właściciela. O tym, że certyfikat ten rzeczywiście wchodzi w skład Mozilla CA Certificate Store możemy się przekonać analizując dokument List of all included root certificates.
Cała sprawa jest bardzo tajemnicza i budzi wiele emocji. Przede wszystkim jak to możliwe, że certyfikat ten jest przez Mozillę dystrybuowany? Po drugie, czy certyfikat ten nie był przypadkiem przez kogoś wykorzystywany do fałszywego poświadczania tożsamości serwerów internetowych? Wszystkie klucze publiczne podpisane wspomnianym certyfikatem typu root certificate były bowiem przez cały czas traktowane przez przeglądarkę Firefox jako zaufane...
Przypomnijmy, że Mozilla Firefox (podobnie do innych popularnych przeglądarek) ostrzega nas w przypadku odwiedzenia niezaufanej witryny za pomocą odpowiedniego komunikatu:
Natomiast, jeśli klucz publiczny serwera został podpisany jednym ze znanych Firefoksowi certyfikatów nadrzędnych, połączenie zostanie prawidłowo nawiązane.
Z niecierpliwością będziemy śledzić dalszy rozwój wydarzeń związanych ze sprawą tajemniczego certyfikatu.
[Aktualizacja]
Organizacja RSA Security, wbrew wcześniejszym oświadczeniom, potwierdziła fakt utworzenia oraz posiadania certyfikatu RSA Security 1024 V3. Mimo, że stanowisko to rozwiało wątpliwości związane z rzekomo osieroconym certyfikatem, to jednak cała sytuacja skłania do refleksji nad wiarygodnością zabezpieczeń opartych o system certyfikatów nadrzędnych.
Komentarze (2)

Sortuj po: Data Ocena Ostatnia Aktywność
Wczytywanie komentarzy...
Wyślij nowy komentarz
Comments by IntenseDebate
Odpowiedz jako Gość, lub zaloguj się:
WróćPołączony jako (Wyloguj się)
Nie wyświetla się publicznie.
Publikowanie anonimowe.
Firefox zawiera certyfikat RSA Security 1024 V3, który nie należy wcale do RSA... [Aktualizacja]
2010-04-06T14:35:00+02:00
\m/ojtek
Inne|Newsy|Sieci komputerowe|
Subskrybuj:
Komentarze do posta (Atom)
Wyszukaj w HCSL:
Subskrybuj:
Najpopularniejsze artykuły wszech czasów:
- Urządzenia do kopiowania kart płatniczych
- Co tak naprawdę ujawniasz w Internecie?
- Dlaczego należy zasłaniać klawiaturę bankomatu?
- Publiczna wiadomość z ukrytym przekazem
- Przyszłość antywirusów jest jasna
- Sposób na obejście internetowych blokad
- Superbezpieczne hasła na... żółtej karteczce
- Funkcje sprzętowego kasowania danych w HDD!
- 12-latek odkrył krytyczną lukę w Firefoksie
- Przestępstwo nie popłaca
- Czy jesteśmy inwigilowani przez chiński sprzęt?
- Gotowy zestaw do podsłuchiwania GSM
- Jak działa internetowa mafia?
- Uwaga na nowy rodzaj ataków phishingowych!
- Microsoftowy poradnik dla organów ścigania!
- Polski super-bezpieczny system Qubes OS
- Dane wieczyście dostępne
- Pierwszy atak samochodowych crackerów
- Pliki PDF zdolne do wykonania dowolnego kodu
- Polskie służby współpracują z firmą Google?
- Więzienie za odmowę ujawnienia hasła
- Podrzucanie dziecięcej pornografii
- Zapomniany film o hakerach
- Łamanie haseł w Windows Vista i 7
fostek · 779 tygodni temu
\m/ojtek 84p · 779 tygodni temu