Полный список обманных SSL-сертификатов
Представлен полный список SSL-сертификатов - обманок, появившихся в результате оглашения злоумышленниками компромата удостоверяющего центра DigiNotar. Большую помощь в составлении списка оказало правительство Нидерландов. Специально для этой цели оно послужило инициатором для проведения полного аудита этого удостоверяющего центра. Всего в список включен 531 обманный сертификат, хотя изначально было оглашено создание 247 SSL-сертификатов. Согласно полученным данным, всего было проведено три атаки: 1 атака – 10 июля, 2 – 18 июля, и третья – 20 числа того же месяца.
Данные SSL-cсертификаты были выработаны не только для самых масштабных компаний, к которым относятся Google, Microsoft (в том числе сертификаты для компании Windows Update), Yahoo!, Facebook, Skype, Mozilla и Twitter, но и для сайтов, предназначенных для спец. служб, таких как, например, МИ-6 (sis.gov.uk), ЦРУ (cia.gov) и Моссад (mossad.gov.il). Наибольший интерес вызывают такие обманные сертификаты, которые создаются для ресурсов с именем "*.*.org" и "*.*.com", и, вне всяких сомнений, сертификаты с масками остальных удостоверяющих центров, таких как 'Thawte Root CA' или 'VeriSign Root CA'.
Кроме того, в списке также числятся несколько сертификатов, в которых злоумышленники неприкрыто насмехаются над пострадавшими. Один из таких сертификатов создан для выдуманного домена RamzShekaneBozorg.com, и имеет следующие мета-данные: "OU=Sare Toro Ham Mishkanam,L=Tehran,O=Hameye Ramzaro Mishkanam". Если эти данные прочитать как текст на фарсе, то перевод звучит так: "Sare Toro Ham Mishkanam" - "тебя тоже взломаю", "Hameyeh Ramzaro Mishkanam" - "я взломаю все зашифрованное", и последнее - "RamzShekaneBozorg" - "величайший взломщик".
Сегодня имеют место быть примерно 1500 первичных сертификатов типа СА, которые контролируются приблизительно 700 различными компаниями. Начиная любой HTTPS/TLS-сеанс, каждый пользователь автоматически доверяет сразу всем существующим центрам сертификации. При этом известно, что если произойдет компрометация одного из удостоверяющих центров (CA - Certificate Authority), то это практически неизбежно приведет к гибели всей системы, ведь на вполне законных основаниях можно сгенерировать сертификат абсолютно для любого домена, и не важно, какой удостоверяющий центр выдал ему сертификат.
Что касается защиты, то тут может спасти разработка перекрестных методов сертификации, и последующее их внедрение. Компания Google, например, предлагает для защиты дополнительный пакет привязок доменов к удостоверяющим центрам.