После того, как VeriSign публично уличили в том, что она выпускает
сертификаты безопасности, которые хакеры могут использовать для спуфинга
практически любого веб-сайта в Интернет, в компании заверили, что реальная
угроза этого уже нейтрализована.
Вице-президент VeriSign по маркетингу Тим Коллан заявил, что уже через
несколько часов после того, как стало известно об обнаружении критической
уязвимости в выпущенных RapidSSL (дочерней структурой VeriSign) сертификатах, в
компании внесли все необходимые изменения для того, чтобы обеспечить иммунитет к
этой атаке для всех своих SSL-продуктов.
Как обычно, на самом деле все далеко не так просто. Если говорить вкратце,
суть проблемы заключается в том, что любой человек, обладающий информацией о
способе использования обнаруженной в алгоритме MD5 уязвимости, может
приобрести легальный
SSL-сертификат и при помощи манипуляции с несколькими битами данных создать
свой собственный действительный SSL-сертификат, который будет принят Firefox,
Internet Explorer и другими браузерами. Фактически, это равносильно тому, что
кто-то взял настоящую печать нотариуса и заверил ею поддельные документы.
Тим Коллан имел в виду, что все SSL-продукты, выпущенные VeriSign 30-го
декабря или позже, имеют защиту от описанной выше атаки. Однако предпринятые
меры не остановят того, кто, возможно, уже воспользовался этой дырой до 30
декабря. И хотя Коллан и соглашается с тем, что невозможно доказать обратное, он
все же считает весьма маловероятным тот факт, что кому-то, кроме самих
исследователей, удалось найти способ успешного проведения атаки. Тем не менее,
довольно трудно себе представить, что киберпреступники откажутся от попыток
приобрести сертификаты, которые позволят им беспрепятственно подделывать
практически любой сайт в мире.
