Представлена централизованная база для проверки подлинности SSL-сертификатов

Представлена база для проверки подлинности SSL-сертификатов

Александр Панасенко 06 Ноября 2012 - 10:41

...

Исследователи безопасности из университета Беркли объявили о создании некоммерческого сообщества ICSI Certificate Notary, которое будет поддерживать единую базу с информацией о валидности SSL-сертификатов.

Созданный сервис проверки сертификатов является попыткой решения ключевой архитектурной проблемы процесса сертификации - при компрометации одного из сотен центров сертификации, рушится вся цепочка доверия (злоумышленники могут сгенерировать сертификат длялюбого сайта, который будет воспринят всей системой как корректный). ICSI Certificate Notary позволяет выявлять такие обманные сертификаты на ранней стадии их появления, пишет opennet.ru.

На основе проведённой в течение года автоматизированной проверки, охватившей статистику по примерно 7.6 миллиардов SSL-соединений от 220 тысяч пользователей, собраны данные об около 500 тысячах сертификатов, используемых web-сайтами в сети. Данные накоплены с использованием нескольких независимых партнёрских систем, работающих в разных частях света. Информация обновляется в непрерывном цикле, что позволяет оперативно отследить факты компрометации сертификатов. Таким образом, используя ICSI Certificate Notary любой пользователь может убедиться, что сертификат, задействованный для создания SSL-соединения с заданным сайтом, выдан данному сайту, а не внедрён клиенту злоумышленниками для организации перехвата трафика.

Доступ к сервису организован в форме DNSBL. Проверка репутации сертификата осуществляется через отправку DNS-запроса в форме "хэш.notary.icsi.berkeley.edu", где хэш - SHA1-хэш от сертификата, валидность которого требуется проверить. В ответ будет возвращена TXT-запись с информацией о валидности сертификата, а также времени первой и последней проверки (например, "version=1 first_seen=15387 last_seen=15646 times_seen=260 validated=1"). Проверка сертификатов организована с задействованием поддерживаемого проектом Mozilla хранилища данных о корневых сертификатах. Интересно, что серверная часть организована с использованием оптимизированного для отдачи DNSBL зон DNS-сервера rbldnsd, созданного нашим соотечественником Михаилом Токаревым.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 04 Февраля 2026 - 13:26

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации Соответствие требованиям регуляторов

ВТБ, СДЭК и Самокат: расширён список сервисов без мобильного интернета

Перечень цифровых платформ, которые продолжают работать во время отключений мобильного интернета по соображениям безопасности, снова расширили. В него добавили банки, СМИ, сервисы доставки и ряд других популярных и социально значимых сервисов.

В обновлённый список вошли банки ВТБ и ПСБ, а также службы доставки «Сдэк», «Купер» и «Самокат».

Среди медиа теперь доступны ресурсы ВГТРК, телеканалы «Звезда», «Вместе-РФ» и «Матч ТВ», издания «Коммерсант» и «Парламентская газета», а также дистрибьютор телеканалов в цифровой среде «Витрина ТВ».

Расширение коснулось и государственных сервисов. Во время ограничений мобильного интернета продолжают работать отдельные сервисы ФНС для налогоплательщиков, Государственная информационная система ЖКХ, мобильное приложение «Инспектор» для дистанционных проверок бизнеса и онлайн-платформы «Росагролизинга».

В список также включены операторы электронного документооборота «Тензор» и «СКБ Контур», онлайн-кассы «Эвотор», железнодорожный перевозчик «Гранд Сервис Экспресс», маркетплейс «Мегамаркет», магазин «Детский мир» и сеть ресторанов быстрого питания «Бургер Кинг». Кроме того, доступ сохраняется к ряду региональных сервисов и сайтам правительств субъектов РФ.

Как отмечается, перечень формируется по согласованию с органами, отвечающими за вопросы безопасности, и включает наиболее вост

Напомним, ранее мы писали, что ФСБ России наложила вето на включение в белые списки рунета ресурсы банков, не установивших СОРМ. По этой причине профильные приложения Сбербанка, Т-Банка, Газпромбанка в этом перечне пока отсутствуют.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »