Еще один центр остановил выпуск SSL-сертификатов после того, как была
обнаружена уязвимость в системе безопасности, которая позволяла хакерам хранить
инструменты для взлома на одном из их серверов.
Представители голландской компании KPN Corporate Market сказали, что
необходимые меры были приняты в ходе исследования этого взлома, который мог быть
произведен еще четыре года назад. Уязвимость обнаружилась только после того, как
в сети были обнаружены инструменты для проведения DDOS атак.
Пока нет доказательств того, что эта уязвимость повлияла на сервера KPN,
выпускающие сертификаты. Но такая возможность "не может не рассматриваться",
заявили в своем пятничном докладе представители KPN.
Эта уязвимость еще раз подтверждает хрупкость SSL, которая является надежной
только при условии, что ни одна из ее составляющих не взломана. При наличии
более 600 сертификационных центров, которым доверяют браузеры Internet Explorer,
Chrome и Firefox в подтверждении, например, Google Mail или других сайтов,
достаточно всего одной уязвимости в системе. А если учесть еще и тот факт, что
некоторые центры расположены в таких странах, как Китай, не сложно предположить,
что их используют для создания ложных сертификатов.
Полдюжины других сертификационных центров были взломаны в прошлом году, хотя
нет доказательств того, что эти уязвимости привели к выпуску фальшивых
сертификатов. Четыре реселлера, включая Comodo, StartSSL, и GlobalSign,
подверглись атакам. В четверг разработчики браузеров сказали, что они отключили
сертификаты CA Digicert Malaysia, поскольку были обнаружены нарушения требований
к системе безопасности.
Всего два месяца назад представители KPN сообщили изданию Reuters, что они
продали сотни новых сертификатов сразу после взлома DigiNotar. Отключение
сертификатов DigiNotar было относительно безболезненным, потому что этот центр
выпускал сертификаты для малого количества доменов.
Определенно ясно одно – в системе SSL слишком много критических точек,
которые подвергают опасности нас всех.