сегодня в 19:42
Сертификат был выпущен 14 сентября примерно в 19:20 (GMT) удостоверяющим центром Thawte (принадлежит компании Symantec) без разрешения или запроса со стороны Google. Причем не простой сертификат, а Extended Validation (EV). Таким образом, это первый зафиксированный случай нелегального выпуска EV сертификата.
Выпуск сертификата по заверению Symantec произошел в результате внутреннего тестирования. Срок действия выпущенного сертификата 1 день. Тем не менее Google уже включил его в список отозванных для своего браузера Chrome. К тому же Google не видит причин полагать, что пользователи подверглись риску в результате этого инцидента.
Примечательно так же, что сертификат был обнаружен при помощи относительно нового механизма — Certificate Transparency. Эта технология была специально разработана для того, чтобы любой владелец домена мог узнать, какие сертификаты выпущены для его домена и, соответственно, обнаружить мошеннические. Благодаря Certificate Transparency информация обо всех выпущенных удостоверяющим центром сертификатах попадает в открытый лог. Производя мониторинг этого лога, можно обнаружить выпущенные для вашего домена сертификаты.
Описанный случай — первое обнаружение неавторизованного выпуска сертификата при помощи Certificate Transparency.
-
—
-
1369
-
4
This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий