Certyfikaty Digicert wycofane z przeglądarek Mozilli i Microsoftu
- Antoni Steliński,
- 04.11.2011, godz. 11:12
Mozilla i Microsoft poinformowały, że wycofują ze swoich przeglądarek wszystkie certyfikaty wydane przez malezyjską firmę Digicert. Decyzje takie podjęto, gdy okazało się, że Digicert wydał 22 certyfikaty zabezpieczone słabymi, 512-bitowymi kluczami i pozbawione odpowiednich rozszerzeń.
- Rosnąca popularność technologii SSL i związane z nią nowe zagrożenia
- System certyfikatów SSL - czas na zmiany
Zobacz też:
Przedstawiciele Digicert na razie nie rozmawiają z prasą na temat tego wydarzenia - na stronie firmy umieszczono jednak oświadczenie, z którego wynika, że ma ona wszelkie niezbędne licencje wymagane przez malezyjskie prawo.
Zobacz również:
Wiadomo już, że proces anulowania certyfikatów wydanych przez Entrust potrwa co najmniej do wtorku (8.11) - firma chce w ten sposób dać użytkownikom wadliwych certyfikatów czas na zastąpienie ich nowymi, spełniającymi wszystkie wymogi bezpieczeństwa.
Wszystkie zakwestionowane przez Entrust certyfikaty wydane zostały lokalnym instytucjom i firmom w Malezji, dlatego też problem dotyczy głównie użytkowników z tego kraju.
Produceni przeglądarek wolą jednak dmuchać na zimne - Mozilla zapowiedziała, że zamierza umieścić na czarnej liście Firefoksa wszystkie certyfikaty wydane przez Digicert (stosowna poprawka zostanie wprowadzona w Firefoksie 8 oraz 3.6.24). To samo zrobi Microsoft - firma planuje wkrótce udostępnić (via Windows Update) aktualizację dla przeglądarki Internet Explorer.
"Na razie nic nie wskazuje na to, że owe certyfikaty zostały wykorzystane do jakichkolwiek niebezpiecznych działań. Ale słabe klucze stanowią poważny problem, ponieważ są podatne na złamanie i to może zostać wykorzystane przez przestępców" - komentuje Jerry Bryant z Microsoftu.
Warto przypomnieć, że to nie pierwszy głośny przypadek zagrożenia związanego z certyfikatami - kilka miesięcy temu okazało się, że przestępcy włamali się do holenderskiej firmy DigiNotar i wykradli z niej kilkaset certyfikatów SSL, które zostały później wykorzystane m.in. do atakowania użytkowników Gmaila.