Microsoft stara się zablokować fałszywy certyfikat HTTPS

Za pomocą fałszywego certyfikatu SSL można wykonać atak typu man-in-the-middle. Certyfikat został wydany dla witryn live.fi oraz www.live.fi. To adresy zarezerwowane dla usług Windows Live.
Certyfikat został już unieważniony przez Comodo, w której imieniu go wydano. Jednak, biorąc pod uwagę łatwość, z jaką można ominąć takie unieważnienie, istnieje spore ryzyko, że przestępcy będą mogli z niego korzystać.

Problem ze wspomnianym certyfikatem to kolejny już dowód na słabość protokołu SSL, który jest de facto internetowym standardem używanym do szyfrowania ruchu. Już w 2009 roku znany badacz Moxie Marlinspike wykazał, że przestępcy mogą w bardzo prosty sposób oszukać wykorzystywane przez przeglądarki listy ważnych certyfikatów. Dzieje się tak, gdyż przeglądarka, łącząc się z serwerem na którym przechowywane są dane o certyfikatach uzna certyfikat za ważny jeśli nie uzyska dostępu do serwera. Wystarczy zatem spowodować, by informacja do przeglądarki nie dotarła i można przeprowadzić atak za pomocą fałszywego certyfikatu.

Na razie nie wiadomo, w jaki sposób doszło do sfałszowania certyfikatu. Z informacji przekazanych przez Microsoftu wynika, że wskutek błędu w systemie pocztowym ktoś nieuprawniony uzyskał dostęp do konta w domenie live.fi.
Słabość systemu cyfrowych certyfikatów polega też na tym, że dość łatwo jest taki certyfikat uzyskać, ale trudno go unieważnić. Jedynym skutecznym sposobem unieważnienia certyfikatu jest opublikowanie odpowiedniej aktualizacji przez producentów przeglądarek. Po jej zainstalowaniu przeglądarka nie dopuści do skorzystania ze sfałszowanego certyfikatu.

Mariusz Błoński


Wersja do druku

13.03.2015 r.

WD: Najbardziej energooszczędne 3,5-calowe dyski twarde w historii, 11:03

Trojan rozwiązuje CAPTCHA, 11:01

17.03.2015 r.

Google wywiera nacisk na użytkowników Firefoksa, 13:11

18.03.2015 r.

Windows 10 będzie dostępny już tego lata na całym świecie, 10:41