В мире существует всего несколько крупных поставщиков SSL сертификатов, и два из них — это VeriSign и CoMoDo. Причем сертификаты VeriSign значительно дороже и позиционируются, в первую очередь, для топ сегмента рынка: банков, крупных порталов, госструктур.
CoMoDo попроще, действует через широкую сеть реселлеров и в период ценовых войн снижали стоимость на свои сертификаты (правда, выпускаемых под другим брендом) до $7 за год.
Тем не менее, можно сказать, что эти две компании на рынке SSL — это Кока-Кола и Пепси-Кола.
И вот, CoMoDo выпускает бюллетень, информирующий о наличии крупной уязвимости, обнаруженной ими при изучении процесса выпуска SSL сертификатов VeriSign.
В чем суть уязвимости не разглашается, но утверждается, что CoMoDo проинформировала VeriSign о наличии бреши недавно, а 23 июня был направлен второй документ, и CoMoDo получил ответ от VeriSign о предпринимаемых мерах, но эти меры разочаровывают.
CoMoDo, как минимум, ожидает, что VeriSign проинформирует всех своих клиентов о наличии уязвимости, для того, чтобы клиенты могли оценить риски и предпринять необходимые действия.
Что было сделано к настоящему моменту компанией VeriSign (видимые проявления):
— кнопка «отозвать сертификат» больше не доступна на публичном сайте, с 24 июня.
— Google больше не дает доступа к информации через доменные имена, со вчерашнего дня.
— Информация об администраторах, такая, как адрес электронной почты, не доступна на публичном сайте со вчерашнего дня.
Остается невыполненными еще несколько действий, такие, как доступ к общедоступным спискам квалифицированных доменных имен.
Из этого сообщения пока не очень понятен характер уязвимости. Скорее всего, конкурентом был найден способ нелегитимно отозвать SSL сертификат, и возможно, подменить его новым.
CoMoDo попроще, действует через широкую сеть реселлеров и в период ценовых войн снижали стоимость на свои сертификаты (правда, выпускаемых под другим брендом) до $7 за год.
Тем не менее, можно сказать, что эти две компании на рынке SSL — это Кока-Кола и Пепси-Кола.
И вот, CoMoDo выпускает бюллетень, информирующий о наличии крупной уязвимости, обнаруженной ими при изучении процесса выпуска SSL сертификатов VeriSign.
В чем суть уязвимости не разглашается, но утверждается, что CoMoDo проинформировала VeriSign о наличии бреши недавно, а 23 июня был направлен второй документ, и CoMoDo получил ответ от VeriSign о предпринимаемых мерах, но эти меры разочаровывают.
CoMoDo, как минимум, ожидает, что VeriSign проинформирует всех своих клиентов о наличии уязвимости, для того, чтобы клиенты могли оценить риски и предпринять необходимые действия.
Что было сделано к настоящему моменту компанией VeriSign (видимые проявления):
— кнопка «отозвать сертификат» больше не доступна на публичном сайте, с 24 июня.
— Google больше не дает доступа к информации через доменные имена, со вчерашнего дня.
— Информация об администраторах, такая, как адрес электронной почты, не доступна на публичном сайте со вчерашнего дня.
Остается невыполненными еще несколько действий, такие, как доступ к общедоступным спискам квалифицированных доменных имен.
Из этого сообщения пока не очень понятен характер уязвимости. Скорее всего, конкурентом был найден способ нелегитимно отозвать SSL сертификат, и возможно, подменить его новым.
