USD 81.23 ЕВРО 93.84

Другие новости

CCTV+: В Гуанчжоу прошел Международный симпозиум по биобезопасности растений (ISPB 2025)

DJI Agriculture представила Agras T100, T70P и T25P на выставке Agritechnica 2025 в Ганновере 

В рамках Международного фестиваля «НАУКА 0+. Великий Новгород» студенты НовГУ представили лучшие научные и социальные проекты года

Российские разработки в медицине стали центром внимания форума БРИКС в Бразилиа

 Глобальное влияние Финансовой улицы Пекина достигло нового максимума

Более 3,2 тысячи фильмов, сериалов и студенческих работ сняли при поддержке кинокомиссии «Москино»

Все новости

Google уличает французское правительство в подмене доменных сертификатов

Экономика

Фальшивые сертификаты использовались для коммерческого устройства для просмотра зашифрованного трафика в частной сети

Атака "человек посередине"Французское подразделение кибер-защиты, Национальное агентство защиты информационных систем (ANSSI) создавало неавторизованные цифровые сертификаты для нескольких доменов Google.

В блоге Google, посвящённом вопросам собственной безопасности, отмечается, что промежуточный центр сертифицирования, выпустивший подделки, связан с ANSSI.

«Сертификаты промежуточных центров сертификации обладают полными возможностями таких центров, так что любой, у кого есть такой сертификат, может использовать его для того, чтобы выдать себя за любой веб-сайт», сказано в блоге Google.

Представители же ANSSI утверждают, что поддельные сертификаты появились в результате человеческой ошибки, совершённой в результате процесса, направленного на укрепление общей безопасности ИТ.

«Ошибка не повлияла ни на общую сетевую безопасность, ни на безопасность французской администрации или общества в целом».

Google утверждает, что сертификат использовался для коммерческого устройства в частной сети для просмотра зашифрованного трафика. По данным компании, пользователи сети были в курсе происходящего, но подобная практика — выход за пределы полномочий ANSSI.

Google ghkmpetncz случаем, чтобы подчеркнуть важность своего проекта «прозрачности сертификатов», призванного устранить бреши в системе SSL-сертификатов, которые могут обусловить возможность атак типа «человек посередине» и спуфинга веб-сайтов. решением проблемы Google видит во внедрении фреймворка, мониторящего и проверяющего сертификаты, блокируя фальшивки и незаконно используемые сертификаты.

Структура, предлагаемая Google, открыта для любого желающего её принять, но эффективность её зависит от центров сертификации, пожелавших в системе участвовать.

Это не первый случай выявления уязвимостей в системе сертифицирования. Американское АНБ уже использовало атаки «человек посередине» с помощью поддельных сертификатов. Кроме того, в августе 2011 года уязвимость одного из центров сертификации, DigiNotar, использовалась иранским хакером, создавшим фальшивые сертификаты доменов Google для просмотра пользовательских паролей для Gmail.