De fleste av brukerne trolig føle seg trygge når de får se hengelås på deres nettleservinduet som ville synes å indikere at det er sikkert og trygt å kommunisere med en e-postkonto eller en bank. Mens SSL er bedre enn ingenting, vi vet også det absolutt ikke stoppe man-in-the-middle (MITM) angrep. Mer eller mindre, stoler vi våre lesere til å stille akseptere troverdig digitale sertifikater fra en sertifiseringsinstans (CA), slik at vi kan stole på at et nettsted som vi surfet er autentisk og selve nettstedet.
Men med nedsatt instanser, kan cyberthugs bak rogue sertifikater ligne HTTPS trafikk for disse nettstedene. Tenk på hvor mange som bruker Google, Skype, eller Yahoo. Dette var stort, folkens!
Det kan være svært involvert for å vikle hjernen din rundt sertifiseringsinstanser (CA), hvordan de fungerer, og hvordan systemet er feil.
En angriper med falske sertifikater og tilgang til et mål Internett-tilkobling kan starte en MITM angrep, og dermed gjør det mulig å avlytte, observere og /eller opptak all kryptert web-trafikk til den kompromitterte nettstedet når brukeren er clueless på hva som skjer. Selv om det ikke er din
Big Brother, noens Big Brother
var i deres nettleser og utdeling av sertifiserte løgner. Takk og lov er det folk som Jacob Appelbaum ser ut for oss å få øye på uredelig instanser.
Sikkerhet forsker og Tor utvikler Jacob Appelbaum gjorde stor undersøke og deretter en fantastisk skrive opp på CA kompromiss og nær cover-up av flere uredelig konserter. Appelbaum, også kjent som ioError på Twitter, oppdaget CA kompromiss i naturen. Han skriver: "I forrige uke kom det en smoking gun til syne: En sertifiseringsinstans så ut til å bli svekket i noen kapasitet, og angriperen utstedt seg gyldig HTTPS-sertifikater for høy verdi nettsider Med disse sertifikatene, kan angriperen utgi identiteter.
av offeret nettsider eller andre relaterte systemer, sannsynligvis undetectably for flertallet av brukerne på internett. "
Han kontaktet Google og Mozilla, men ble holdt til en embargo om utlevering. De kompromitterte sertifikater ble utstedt av USERTRUST Network som er en del av Comodo. Google hadde lappet Chrome forrige uke og Mozilla klart å inkludere svartelisten i Firefox 4. Når Mozilla blogget om problemet, så gjorde Applebaum - ".
Denne handlingen ble tatt av et statlig nivå motstander" som inkluderte en detaljert forklaring samt mistanke
Etter Comodo endelig utstedt en uttalelse, det bekreft