Furtherevidence of Certificate Authority break-ins
27 October 2011, 18:17
Bài được đưa lênInternet ngày: 27/10/2011
Trongsố những thứ khác, sự gia tăng sắc nhọn trong nhữngthu hồi chứng thực từ việc sử dụng các công nghệ mãhóa.
Nguồn: Quỹ Biên giớiĐiện tử EFF
Amongother things, the sharp rise in certificate revocations has beencaused by the increased use of encryption technologies.
Source:Electronic Frontier Foundation (EFF)
Lờingười dịch: Đã có nhiều thu hồi chứng thực số trong4 tháng trở lại đây tại các cơ quan chứng thực sốCA. “CA thu hồi các chứng thực vì nhiều lý do - ví dụ,khi các khách hàng đóng bộ phận kinh doanh (ngừng hoạtđộng) hoặc đánh mất khóa bí mật (tổn thương khóa).Điều đáng lưu ý là bao gồm 248 trường hợp trong cácCRL nơi mà lý do được nêu là CA có trách nhiệm đã bịtổn thương. Tới tháng 06/2011, chỉ 55 chứng thực đãbị thu hồi vì lý do này. Gần 200 chứng thực đã bịthu hồi kể từ đó đã được 5 CA khác nhau phát hành”.Xem thêm thông tin về CA ởđây.
Trong một bài báo đặcbiệt về an ninh của SSL, Peter Eckersley từ EFF đã nóirằng ít nhất 5 cơ quan chứng thực CA đã bị tổn thươngtrong vòng 4 tháng qua. Eckersley đã trích thông tin này từcác danh sách thu hồi mà các CA đã đưa ra. Những “Danhsách Thu hồi Chứng thực” CRL này chứa các chứng thựccó thể không còn được xem là hợp lệ nữa. CAthu hồi các chứng thực vì nhiều lý do - ví dụ, khi cáckhách hàng đóng bộ phận kinh doanh (ngừng hoạt động)hoặc đánh mất khóa bí mật (tổn thương khóa). Điềuđáng lưu ý là bao gồm 248 trường hợp trong các CRL nơimà lý do được nêu là CA có trách nhiệm đã bị tổnthương. Tới tháng 06/2011, chỉ 55 chứng thực đã bị thuhồi vì lý do này. Gần 200 chứng thực đã bị thu hồikể từ đó đã được 5 CA khác nhau phát hành.
Điều này có nghĩalà, trong vòng 4 tháng, các tin tặc đã gây tổn thươngcho ít nhất 5 CA để phát hành các chứng thực không hợplệ. Và rằng điều này chỉ là tối thiểu tuyệt đối.Trong đa số các trường hợp - hơn 900.000 tổng số - nhàcấp phát CRL chọn không điền đầy trường nơi mà mộtlý do có thể được đưa ra. Những thâm nhập trái phépvào các CA là vấn đề vì bất kỳ CA tin cậy nào cũngcó thể phát hành các chứng thực cho bất kỳ trang webnào. Các trình duyệt sẽ chấp nhận chúng mà không cóyêu sách nào - và rằng áp dụng cho Gmail cũng nhiều nhưcho cơ sở ngân hàng trực tuyến của ngân hàng DeutscheBank. Theo cơ quan Giám sát SSL, các trình duyệt tin cậy hơn600 CA trong hơn 50 quốc gia.
Ina feature article onthe security of SSL, Peter Eckersley f-rom the Electronic FrontierFoundation has said that at least five Certificate Authorities (CAs)have been compromised in the past four months. Eckersley extractedthis information f-rom the revocation lists that are released by theCAs.
These"Certificate Revocation Lists" (CRLs) contain certificatesthat can no longer be considered valid. CAs revoke certificates for avariety of reasons – for example, when customers close down abusiness division (cessation of operation) or lose their secret key(key compromise). What was notable was the inclusion of 248 cases inthe CRLs whe-re the stated reason was that the responsible CertificateAuthority had been compromised. Up to June 2011, only 55 certificateswere revoked for this reason. The nearly 200 certificates that havebeen revoked since then were issued by five different CAs.
Thismeans that, within only four months, hackers compromised at leastfive CAs in order to issue unauthorised certificates. And that isonly the absolute minimum. In the large majority of cases – over900,000 in total – the CRL issuer chose not to fill in the fieldwhe-re a reason can be given. Such CA intrusions are problematicbecause any of the accredited Certificate Authorities can issuecertificates for any web page. Browsers will accept them withoutcomplaint – and that applies to Gmail as much as to Deutsche Bank'sonline banking facility. According to SSL Observatory, our browserstrust more than 600CAs in over 50 countries.
Dịch tài liệu: LêTrung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...