SSL-сертификаты для сервисов Google были взломаны

31 августа 2011, Ольга Мельник

Хакеры взломали SSL-сертификаты, которые использовала для своих сервисов компания Google. Взломанный сертификат был выдан компанией DigiNotar. Уже есть пользователи, пострадавшие в результате использования таких сертификатов.

С помощью поддельных сертификатов возможна организация хакерской атаки типа man-in-the-middle, в результате которой пользователи перенаправляются на поддельные страницы, а злоумышленники получают доступ к логинам и паролям пользователей.

В результате взлома браузеры воспринимали защищенную HTTPS-сессию валидной, а SSL-сертификаты подлинными, поэтому не отображали сообщение о недостоверности сертификата. Эксперты считают, что злуомышленники могли сгенерировать сразу несколько сертификатов для разных браузеров. Компания-поставщик сертификата уже отозвала его.

Напомним, что SSL-сертификаты позволяют браузеру убедиться в подлинности просматриваемого сайта, а также ограничить предотвратить перехват данных.

Это не первый случай кражи SSL-сертификатов. Их кража является особенно опасным, ибо компрометация только одного из них может привести к возможности сгенерировать и другие поддельные сертификаты. Кроме того, эксперты считают, что поддельные сертификаты могут довольно длительное время использоваться на разных сайтах и не быть обнаруженными.

Вы можете перейти в конец и оставить комментарий. Уведомления сейчас отключены.

Подпишитесь на новости: