Voodoojar

Ошибки в ПО являются основной причиной ошибочно выданных SSL-сертификатов ( 1 фото )


Ошибки в ПО являются основной причиной ошибочно выданных SSL-сертификатов Интернет и компьютеры,ssl-сертификат,Сертификация

Исследователи проанализировали 379 случаев ошибочно выданных SSL-сертификатов из более чем 1300 инцидентов.

Ошибки в программном обеспечении и неправильное толкование отраслевых стандартов лежат в основе большинства случаев неправильно выданных SSL-сертификатов — на них приходится 42% от всех инцидентов. Исследователи из Школы информатики и вычислительной техники Индианского университета в Блумингтоне (США) проанализировали 379 случаев неправильно выданных SSL-сертификатов из более чем 1300 известных инцидентов.

Центры сертификации или удостоверяющие центры — организации, которые продают или предоставляют бесплатные SSL-сертификаты, которые затем используются для шифрования связи между клиентами и серверами в форме HTTPS-соединений. Деятельность центров регулируется CA/B Forum — отраслевой группой, состоящей из производителей браузеров и ОС. CA/B Forum публикует и обновляет отраслевые стандарты, которые определяют правильный способ выдачи SSL-сертификатов.

Исследователи хотели выяснить, как удостоверяющие центры придерживаются отраслевых стандартов, и что является наиболее распространенной причиной неправильной выдачи SSL-сертификатов. За прошедшие годы у центров сертификации возникло несколько ошибок, когда они выдавали сертификаты без соблюдения данных правил. Например, выдача SSL-сертификатов в отдельных случаях позволяла преступникам проводить MitM-атаки, перехватывать HTTPS-трафик и совершать вредоносные операции. Для того чтобы избежать истечения сроков службы, удостоверяющие центры также выдавали SSL-сертификаты задним числом, без проверки, является ли покупатель законным лицом/компанией.

По словам исследователей, большинство случаев неправильной выдачи SSL-сертификатов были вызваны ошибками программного обеспечения. Из 379 проанализированных случаев 91 (24%) были вызваны программными ошибками в одной из программных платформ центров сертификации, в результате чего клиенты получали не соответствующие нормам SSL-сертификаты.

Второй наиболее распространенной причиной было неправильное толкование правил CA/B Forum, составляя 69 (18%) от всех случаев неправильной выдачи SSL-сертификатов. Злонамеренная передача SSL-сертификатов занимает третье место, в 52 случаях (14%) центры сертификации умышленно решили получить финансовую выгоду, нарушив отраслевые правила. Четвертой по частоте причиной оказался человеческий фактор — 37 случаев (10%). Операционные ошибки, произошедшие во внутренних процедурах удостоверяющих центров, занимают пятое место и насчитывают 29 случаев (8%). Шестой причиной была «неоптимальная проверка запроса». Данная ошибка происходит при проверке личности клиента, например, когда автор вредоносного ПО получает SSL-сертификат под видом легитимной компании. Исследователи обнаружили 24 (6%) подобных инцидентов.

По результатам исследования, в число наиболее проблемных центров сертификации входили такие компании, как StartCom, WoSign, DigiCert, PROCERT, Comodo (теперь Sectigo), Quo Vadis, VISA, GoDaddy, Certum, Camerfirma и SwissSign.

Взято: Тут

+48113
  • 0
  • 1 556
Обнаружили ошибку?
Выделите проблемный фрагмент мышкой и нажмите CTRL+ENTER.
В появившемся окне опишите проблему и отправьте уведомление Администрации.
Нужна органическая вечная ссылка из данной статьи? Постовой?
Подробности здесь

Добавить комментарий

  • Внимание!!! Комментарий должен быть не короче 40 и не длиннее 3000 символов.
    Осталось ввести знаков.
    • angelangryapplausebazarbeatbeerbeer2blindbokaliboyanbravo
      burumburumbyecallcarchihcrazycrycup_fullcvetokdadadance
      deathdevildraznilkadrinkdrunkdruzhbaedaelkafingalfoofootball
      fuckgirlkisshammerhearthelphughuhhypnosiskillkissletsrock
      lollooklovemmmmmoneymoroznevizhuniniomgparikphone
      podarokpodmigpodzatylnikpokapomadapopapreyprivetprostitequestionrofl
      roseshedevrshocksilaskuchnosleepysmehsmilesmokesmutilisnegurka
      spasibostenastopsuicidetitstorttostuhmylkaumnikunsmileura
      vkaskewakeupwhosthatyazykzlozomboboxah1n1aaaeeeareyoukiddingmecerealguycerealguy2
      challengederpderpcryderpgopderphappyderphappycryderplolderpneutralderprichderpsadderpstare
      derpthumbderpwhydisappointfapforeveraloneforeveralonehappyfuckthatbitchgaspiliedjackielikeaboss
      megustamegustamuchomercurywinnotbadnumbohgodokaypokerfaceragemegaragetextstare
      sweetjesusfacethefuckthefuckgirltrolltrolldadtrollgirltruestoryyuno