Информационная безопасность / Trustwave признает выдачу корневого сертификата сторонней компании

в 10:20, , рубрики: omg, SSL, trustwave, wtf, метки: , , ,

Источники: статья на ComputerWorld и пост на lwn.net
Вкратце, суть статьи. Trustwave признает выдачу корневого сертификата (subordinate root) сторонней компании. Это означает, что компания рога-и-копыта лтд. может, при наличии такого сертификата, подписать что угодно, уже без обращения к центру сертификации. Например, такой сертификат может быть использован для man-in-middle атак, которые пользователь просто не сможет отследить.
Особенно радует следующая цитата: «В свою защиту Trustwave говорит, что выдача корневого сертификата сторонней компании для анализа SSL-трафика внутренней сети компании — это обычная практика».
К чему это может нас привести.

1. Trustwave может быть убран из доверенных корневых сертификатов. Печально, что при этом пострадают ни в чем не повинные компании, купившие у них сертификат на свои домены.
2. В перспективе это может быть раздуто в большой скандал, который здорово пошатнет позиции всех компаний в индустрии продажи воздуха сертификатов.
3. В свете приведенной выше цитаты доверие к SSL может быть также сильно подорвано.
Никакого собственного вывода из этой ситуации я пока сделать не могу. До сих пор, кроме слов «ни хрена себе» в голову ничего не приходит. Разве что не завидую параноидальным товарищам и предвижу рост использования VPN-сервисов:).


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js