Бывают люди, похожие на нули: им всегда необходимо, чтобы впереди их были цифры.

Папа, а ты пионером был? ...

Фонд СПО объявил обладателей ежегодной премии за вклад в развитие свободного ПО
Sun, 24 Mar 2019 08:53:14 +0300

Фонд свободного ПО сертифицировал микрофон, 2 Wi-Fi и 4 Ethernet адаптера
Fri, 22 Mar 2019 08:19:56 +0300

Из-за изменения правил в Google Play оставлена урезанная версия KDE Connect
Tue, 19 Mar 2019 23:21:37 +0300

Cloudflare представил инструменты для выявления перехвата HTTPS
Tue, 19 Mar 2019 10:20:22 +0300

Завершено преобразование SUSE в независимую компанию
Sat, 16 Mar 2019 10:45:14 +0300

GitHub меняет политику конфиденциальности и условия соблюдения санкций
Fri, 15 Mar 2019 08:47:25 +0300

Новые проекты Linux Foundation по финансированию, безопасности и совместной разработке СПО
Thu, 14 Mar 2019 21:49:39 +0300

Amazon представил редакцию Elasticsearch, решающую проблемы с открытостью кода
Thu, 14 Mar 2019 10:05:38 +0300

Debian 10 "Buster" перешёл на стадию полной заморозки перед релизом
Wed, 13 Mar 2019 08:20:14 +0300

Компания Mozilla ввела в строй сервис обмена файлами Firefox Send
Tue, 12 Mar 2019 20:11:34 +0300

Google, SiFive и WD основали альянс для продвижения открытых чипов и SoC
Tue, 12 Mar 2019 11:36:21 +0300

Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
Tue, 12 Mar 2019 10:31:02 +0300

Microsoft портировал DTrace для Windows
Tue, 12 Mar 2019 10:03:09 +0300

Компания F5 Networks поглотила NGINX за 670 млн долларов
Tue, 12 Mar 2019 06:46:18 +0300

Google представил инициативу по стимулированию написания документации для СПО
Mon, 11 Mar 2019 22:22:06 +0300

Новости OPENNET
Новости

Компания DigiCert сегодня отзовёт более 23 тысяч SSL-сертификатов, полученных пользователями через реселлера Trustico, который предоставляет услуги по получению SSL-сертификатов, выступая посредником между клиентом и удостоверяющим центром.

В начале февраля компания Trustico обратилась к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico).

В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo.

После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.

Отправленное сообщение не оставило DigiCert выбора и было принято решение по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.

Компания DigiCert напрямую направила уведомление о скорой блокировке обладателям проблемных сертификатов, что вызвало недовольство со стороны Trustico, так как данная рассылка была выполнена без какого-то совместного согласования и в обход посредника, взаимодействующего с клиентом. Trustico со своей стороны также выполнила рассылку в которой заявила о готовности бесплатно предоставить новые сертификаты от другого удостоверяющего центра.

Под вопросом остаётся то, как закрытые ключи оказались в руках Trustico. Данная компания отказалась раскрывать информацию об утечке, поэтому остаются лишь предположения. Заявлено только то, что запрос на отзыв 50 тысяч сертификатов обусловлен проблемами с некорректной организацией работы инфраструктуры удостоверяющего центра Symantec, который недавно перешёл в руки DigiCert.

Данное объяснение было поставлено под сомнение, так как в подобной ситуации было бы логичным организовать плавный перевод клиентов на новые сертификаты, а не инициировать их экстренный отзыв. Кроме того, так и не раскрыта информация о том, каким образом закрытые ключи попали в руки Trustico. Наиболее вероятной выглядит гипотеза о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-сервиса.

Ожидается, что инцидент послужит толчком к пересмотру взаимодействия удостоверяющих центров с реселлерами, ужесточению правил доставки сертификатов и выработке методов, которые исключат доступ реселлера к выдаваемым клиентам закрытым ключам.

Дополнение: на сайте Trustico выявлена легко эксплуатируемая уязвимость, позволяющая получить права root на сервере.

63.7705 72.5900 0.5756 9.5099

НОВОСТИ: Выпуск Samba 4.10.0 Wed, 20 Mar 2019 12:18:18 +0300

Опубликован релиз Samba 4.10.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome