» »

Chrome plans to stop recognizing the extended validation status of all certificates issued by Symantec-owned certificate authorities

Chrome plans to stop recognizing the extended validation status of all certificates issued by Symantec-owned certificate authorities

jukoz ::

https://arstechnica.com/security/2017/0...

"Thursday's announcement came after Google's investigation revealed that over a span of years, Symantec CAs have improperly issued more than 30,000 certificates."

Too funny =)

PS

Vsi pametnjakoviči ki bentiti zakaj AJPES/FURS/katerakolipravaorganizacija uporablja svoj CA? ZATO!!

Bo pa veselje, ko bodo stranke zahtevale nazaj keš od Extended validation certov, ki jih je izdal Symantec. Niso ravno poceni...

XS!D3 ::

jukoz je izjavil:


Vsi pametnjakoviči ki bentiti zakaj AJPES/FURS/katerakolipravaorganizacija uporablja svoj CA? ZATO!!

A lahko še malo bolj razložiš zakaj oziroma kako točno to pomaga glede na to, da browser itak zaupa tudi vsem ostalim CA, ki so na listi zaupanja vrednih?
Če se uporablja cert pining ali TLSA lahko dodatno preveriš tudi konkreten cert, drugače pa....
Recimo, da nekdo izvede MITM pri dostopu do Ajpesa s pomočjo napačno izdanega Symantecova certa. Prideš na stran, Symantecov cert je podpisan z zaupanja vrednim CA in browser bo rekel, da je vse ok (ali pač ne?). Kaj je tu drugače, kot če bi Ajpes uporabljal kateri koli drugi ceritifikat, ki je že dodan na listo zaupanja vrednih v sodobnih sistemih.

jukoz ::

"Če se uporablja cert pining ali TLSA lahko dodatno preveriš tudi konkreten cert, drugače pa.... "
Sam si si odgovoril.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Self-signed cert na iPhonu?

Oddelek: Informacijska varnost
388280 (6373) poweroff
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181215 (63769) jukoz
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20185402 (59597) MrStein
»

Sigen-ca za strežnik

Oddelek: Informacijska varnost
234779 (4109) Tomas 33
»

Trustwave izdajal man-in-the-middle SSL certifikate, bojda je to "stalna praksa"

Oddelek: Novice / Varnost
2610175 (7760) kunigunda

Več podobnih tem