Google revelou biz segurança MCS Holdings entregues certificados SSL não autorizadas para alguns sites de propriedade do Google.
Qualquer pessoa com estes certificados desonestos poderia configurar um servidor web que se disfarça como um site legítimo Google, e redirecionar as pessoas para o site falso seqüestro por seu DNS. Chrome e os mais recentes navegadores web Firefox deve detectar a intercepção, e se recusam a falar com o servidor, mas outros navegadores podem ter continuado com o falso websites nenhum o mais sábio, permitindo senhas, e-mails e outros detalhes para escorregar em mãos erradas.
MCS, uma autoridade de certificação intermediária com base no Egito, criou os certificados do Google desertor e emitiu-os a empresas para os administradores de TI podem interceptar e inspecionar o tráfego criptografado internet dos trabalhadores para os servidores do Google, enquanto no trabalho, é reivindicado. Não há nenhuma sugestão nesse estágio que os certificados foram utilizados para fins maliciosos.
Os certs do Google foram criados usando um certificado intermediário emitido pela grande autoridade de certificação chinês CNNIC , que tem a confiança de navegadores e sistemas operacionais.
Se você ou eu fosse para criar um gmail.com certificado SSL, e dedilhar-lo em um site vestido para se parecer com uma página de login do Gmail, nenhum navegador confiar nele porque ele está desconectado da cadeia de confiança que mantém o mundo do SSL juntos - a conexão HTTPS seria rejeitado. Mas, no caso de MCS, os certificados de domínio do Google estavam apoiados por uma autoridade confiável - CNNIC. É temido MCS emitiu certs para outros sites para que os patrões podem espionar pessoal; a facilidade com que os certificados falsos pode ser emitido, e talvez roubado e usado na natureza, diz respeito a especialistas em segurança.
É mais um exemplo de um problema fundamental com autoridades de certificação de criptografia. No final, do Chrome e Firefox pinagem certificado evitou a confusão de intermediários de confiança.
"CNNIC está incluído em todas as grandes lojas de raiz e assim os certificados mis-emitidas serão confiáveis por quase todos os navegadores e sistemas operacionais", engenheiro de segurança do Google Adam Langley blog .
"Chrome no Windows, OS X e Linux, ChromeOS, e Firefox 33 e maior, teria rejeitado esses certificados por causa de pinagem de chave pública, embora os certificados mis-emitidos para outros sites provável existir."
Google viu o problema em 20 de março, e alertou o corpo cert chinês, que abordou a questão em 22 de março, revogando certificado intermediário MCS '. Google e Firefox-maker Mozilla ter instruído seu software para rejeitar os certificados desonestos.
"Não temos nenhuma indicação de abuso e não estamos sugerindo que as pessoas mudam de senhas ou tomar outras medidas", disse Langley. "Neste momento estamos considerando o que são apropriadas outras acções." ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário