mercredi 6 avril 2011

Des milliers de certificats SSL émis aux noms non qualifiés

Nouvelles intéressantes sur l'url:http://rss.slashdot.org/~r/Slashdot/slashdot/~3/_vcNcA8bMjg/Thousands-of-SSL-Certs-Issued-To-Unqualified-Names:

Trailrunner7 écrit: «La récente attaque sur Comodo et plusieurs de ses autorités d'enregistrement associés a stimulé un peu de ré-examen de la façon dont l'infrastructure du Web certificat de l'autorité des œuvres -. Ou ne pas Un résultat intéressant de ce travail est que la gens de l'Electronic Frontier Foundation ont découvert qu'il ya plus de 37.000 certificats émis par les autorités légitimes pour les noms non qualifiés tels que "localhost" ou "Exchange", une pratique qui pourrait simplifier certaines formes d'attaques man-in-the-middle ». Bien que 'localhost' signature est drôle, AR créer un risque réel au moment de signer d'autres noms non qualifiés. Que faire si un attaquant capable de recevoir un certificat signé par des noms comme «mail» ou «webmail»? Un tel attaquant serait en mesure de parfaitement forger l'identité du serveur webmail de votre organisation dans une attaque "man-in-the-middle '!" "


Lire la suite de cette histoire à Slashdot.






Aucun commentaire:

Enregistrer un commentaire