USD 101.68 ЕВРО 106.1

Другие новости

Xinhua Silk Road: в Шэньяне прошла конференция по углублению финансовой открытости и сотрудничества в Северо-Восточной Азии

Aghanim анонсирует мгновенные выплаты для разработчиков мобильных игр 

«Зима в Москве»: гостей «Путешествия в Рождество» ждут утренники и спектакли

Проект мирового уровня: зарубежные партнеры оценили будущий кластер видеоигр и анимации в Москве

Написать сценарий и снять ролик: в «Кинокампусе Горького» подготовили мастер-классы для детей и подростков

Пять рождественских ярмарок проекта «Креативный маркет» откроется в Москве в конце декабря

Все новости

Google уличает французское правительство в подмене доменных сертификатов

Экономика

Фальшивые сертификаты использовались для коммерческого устройства для просмотра зашифрованного трафика в частной сети

Атака "человек посередине"Французское подразделение кибер-защиты, Национальное агентство защиты информационных систем (ANSSI) создавало неавторизованные цифровые сертификаты для нескольких доменов Google.

В блоге Google, посвящённом вопросам собственной безопасности, отмечается, что промежуточный центр сертифицирования, выпустивший подделки, связан с ANSSI.

«Сертификаты промежуточных центров сертификации обладают полными возможностями таких центров, так что любой, у кого есть такой сертификат, может использовать его для того, чтобы выдать себя за любой веб-сайт», сказано в блоге Google.

Представители же ANSSI утверждают, что поддельные сертификаты появились в результате человеческой ошибки, совершённой в результате процесса, направленного на укрепление общей безопасности ИТ.

«Ошибка не повлияла ни на общую сетевую безопасность, ни на безопасность французской администрации или общества в целом».

Google утверждает, что сертификат использовался для коммерческого устройства в частной сети для просмотра зашифрованного трафика. По данным компании, пользователи сети были в курсе происходящего, но подобная практика — выход за пределы полномочий ANSSI.

Google ghkmpetncz случаем, чтобы подчеркнуть важность своего проекта «прозрачности сертификатов», призванного устранить бреши в системе SSL-сертификатов, которые могут обусловить возможность атак типа «человек посередине» и спуфинга веб-сайтов. решением проблемы Google видит во внедрении фреймворка, мониторящего и проверяющего сертификаты, блокируя фальшивки и незаконно используемые сертификаты.

Структура, предлагаемая Google, открыта для любого желающего её принять, но эффективность её зависит от центров сертификации, пожелавших в системе участвовать.

Это не первый случай выявления уязвимостей в системе сертифицирования. Американское АНБ уже использовало атаки «человек посередине» с помощью поддельных сертификатов. Кроме того, в августе 2011 года уязвимость одного из центров сертификации, DigiNotar, использовалась иранским хакером, создавшим фальшивые сертификаты доменов Google для просмотра пользовательских паролей для Gmail.