Платим блогерам
Редакция
Новости Software jMeirou

реклама

Компания StartCom, занимающаяся выдачей SSL-сертификатов под брендом StartSSL, временно прекратила выдачу новых сертификатов из-за взлома системы безопасности, который произошёл на прошлой неделе.

"Из-за обхода системы защиты, который произошёл 15 июня, выпуск цифровых сертификатов и предоставление соответствующих услуг временно приостановлены. До особого распоряжения работа наших сервисов осуществляться не будет", - заявили в компании.

реклама

StartCom также отметила, что владельцев действующих сертификатов этот инцидент не затронул. Технический директор StartCom Эдди Нигг сообщил изданию The Register, что хакеры попытались получить сертификаты для тех же веб-сайтов, что и в случае с атакой на Бюро сертификации Comodo, произошедшей ранее в этом году, а именно - www.google.com, login.yahoo.com, login.skype.com, login.live.com и mail.google.com.

К счастью, в отличие от атаки на Comodo, хакерам не удалось сгенерировать нужные им сертификаты. Им также не удалось получить sub-CA сертификат, который бы позволил им выпускать сертификаты самостоятельно. Нигг сообщил, что их закрытый ключ хранится на компьютере, изолированном от интернета, и поэтому он был в безопасности.

Недавние атаки на Бюро сертификации вызывают множество вопросов о безопасности инфраструктуры открытых ключей. Создатели браузеров пытаются разработать средства, которые бы помогли защитить пользователей даже в тех случаях, когда злоумышленникам удаётся выпустить мошеннические сертификаты. Компания Google, например, в своём браузере Chrome представляет функционал, названный "закрепление сертификата" (certificate pinning), дающий пользователям возможность ассоциировать некоторые элементы сертификата с конкретным доменом. Так, сертификат для mail.google.com пройдёт валидацию только в том случае, если он будет выпущен одним из нескольких конкретных Бюро сертификации. Это в значительной степени ограничит возможности хакеров.

Сейчас обсуждают