Iš viso iki 23 000 nutekėjusių HTTPS sertifikatų kelia pavojų tūkstančių tinklo vartotojų duomenims
Turinys:
Mūsų duomenų saugumas tinkle vėl kyla abejonių Vakar pamatėme, kaip galima pagerinti mūsų įrangos ir namų tinklas, leidžiantis MAC filtravimą iš mūsų maršrutizatoriaus. Tai neklysta, bet bent jau gauname šiek tiek papildomos apsaugos.
Tačiau tai nenaudinga, jei kai mūsų duomenys iškeliauja į užsienį, jie susiduria su rizika, kuria iš pradžių nesitikėjome. Ir taip nutiko, kai dėl didžiulio nutekėjimo buvo pažeisti keli tūkstančiai HTTPS sertifikatųIr tai yra tai, kad tūkstančiai šių HTTPS sertifikatų buvo išplatinti el. paštu.
Prieš tęsdami paaiškinkite HTTPS sertifikato tikslą svetainėje. Tai yra sistema, kuri garantuoja, kad mūsų įvesti duomenys yra visiškai užšifruoti Tokiu būdu mūsų duomenys teoriškai yra apsaugoti, kol pasiekia paskirties vietą. Tai tinklalapiai, kuriuose vietoj įprasto HTTP adresas nurodomas raidėmis HTTPS.
Neatsakingas požiūris?
Šis didžiulis (ir neatsakingas) nutekėjimas paveikė iki 23 000 HTTPS sertifikatų, todėl tinklalapiai ir domenai, kurie buvo apsaugoti tais 23 000 sertifikatų (tai nieko), dabar yra visiškai atskleisti. Ir juose naudojami duomenys taip pat.
Pagalvokime apie visų rūšių puslapius – nuo elektroninės prekybos svetainių iki bankų puslapių ir net oficialių organizacijų. Tai gilios problemos, apie kurią mes net nežinome.
Išvertus į vartotojų skaičių, galime susidaryti idėją. Gali būti tūkstančiai, dešimtys, šimtai tūkstančių ar net milijonai paveiktų vartotojų, kurie pasiekia šiuos tinklalapius, kurių sertifikatai yra prieinami didžiausią kainą pasiūliusiam asmeniui.
Panašu, kad el. laišką „DigiCertDigiCert“ vykdomajam viceprezidentui Jeremy Rowley išsiuntė „Trustico“, įmonės, valdančios šiuos puslapius patvirtinančius TLS sertifikatus, generalinis direktorius. Iš viso, el. laiškas su priedu su visais raktais (iš viso iki 23 000).
Naujiena, kuri gali atrodyti paimta iš humoristinės erdvės, bet, deja, taip nėra. Labai neatsakinga rizikuoti tokia slapta informacija Negalime pamiršti, kad el. paštas nėra pati saugiausia priemonė.Būsime dėmesingi situacijos raidai.
Š altinis | ArsTechnica vaizdas | Vikipedija
