Forum » Informacijska varnost » Chrome plans to stop recognizing the extended validation status of all certificates issued by Symantec-owned certificate authorities
Chrome plans to stop recognizing the extended validation status of all certificates issued by Symantec-owned certificate authorities
jukoz ::
https://arstechnica.com/security/2017/0...
"Thursday's announcement came after Google's investigation revealed that over a span of years, Symantec CAs have improperly issued more than 30,000 certificates."
Too funny =)
PS
Vsi pametnjakoviči ki bentiti zakaj AJPES/FURS/katerakolipravaorganizacija uporablja svoj CA? ZATO!!
Bo pa veselje, ko bodo stranke zahtevale nazaj keš od Extended validation certov, ki jih je izdal Symantec. Niso ravno poceni...
"Thursday's announcement came after Google's investigation revealed that over a span of years, Symantec CAs have improperly issued more than 30,000 certificates."
Too funny =)
PS
Vsi pametnjakoviči ki bentiti zakaj AJPES/FURS/katerakolipravaorganizacija uporablja svoj CA? ZATO!!
Bo pa veselje, ko bodo stranke zahtevale nazaj keš od Extended validation certov, ki jih je izdal Symantec. Niso ravno poceni...
XS!D3 ::
Vsi pametnjakoviči ki bentiti zakaj AJPES/FURS/katerakolipravaorganizacija uporablja svoj CA? ZATO!!
A lahko še malo bolj razložiš zakaj oziroma kako točno to pomaga glede na to, da browser itak zaupa tudi vsem ostalim CA, ki so na listi zaupanja vrednih?
Če se uporablja cert pining ali TLSA lahko dodatno preveriš tudi konkreten cert, drugače pa....
Recimo, da nekdo izvede MITM pri dostopu do Ajpesa s pomočjo napačno izdanega Symantecova certa. Prideš na stran, Symantecov cert je podpisan z zaupanja vrednim CA in browser bo rekel, da je vse ok (ali pač ne?). Kaj je tu drugače, kot če bi Ajpes uporabljal kateri koli drugi ceritifikat, ki je že dodan na listo zaupanja vrednih v sodobnih sistemih.
jukoz ::
"Če se uporablja cert pining ali TLSA lahko dodatno preveriš tudi konkreten cert, drugače pa.... "
Sam si si odgovoril.
Sam si si odgovoril.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Self-signed cert na iPhonu?Oddelek: Informacijska varnost | 8280 (6373) | poweroff |
» | Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )Oddelek: Novice / Varnost | 81215 (63769) | jukoz |
» | Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )Oddelek: Novice / NWO | 85402 (59597) | MrStein |
» | Sigen-ca za strežnikOddelek: Informacijska varnost | 4779 (4109) | Tomas 33 |
» | Trustwave izdajal man-in-the-middle SSL certifikate, bojda je to "stalna praksa"Oddelek: Novice / Varnost | 10175 (7760) | kunigunda |