Загалом до 23 000 витоку сертифікатів HTTPS ставлять під загрозу дані тисяч користувачів мережі
Зміст:
Безпека наших даних у мережі знову під питанням Вчора ми побачили, як можна покращити безпеку нашого обладнання та домашня мережа, що дозволяє фільтрувати MAC-адреси з нашого маршрутизатора. Він не безпомилковий, але принаймні ми отримуємо трохи додаткового захисту.
Але це не має користі, якщо, коли наші дані потрапляють за кордон, вони піддаються ризикам, на які ми спочатку не розраховували. І ось що сталося, коли масовий витік скомпрометував кілька тисяч сертифікатів HTTPSІ це те, що тисячі цих сертифікатів HTTPS були розповсюджені електронною поштою.
Перш ніж продовжити, уточніть призначення сертифіката HTTPS на веб-сайті. Ця система гарантує наскрізне шифрування даних, які ми вводимо Таким чином наші дані теоретично захищені, доки вони не досягнуть місця призначення. Це веб-сторінки, адреса яких замість звичайного HTTP починається літерами HTTPS.
Безвідповідальне ставлення?
Загалом до 23 000 сертифікатів HTTPS постраждали через цей масовий (і безвідповідальний) витік, так що веб-сторінки та домени, які були захищені тими 23 000 сертифікатами (це нічого), тепер повністю розкриті. А також дані, які в них використовуються.
Давайте подумаємо про сторінки всіх видів, починаючи від веб-сайтів електронної комерції, закінчуючи сторінками банків і навіть офіційних організацій. Це проблема глибини, про яку ми навіть не підозрюємо.
У перекладі на кількість користувачів ми можемо отримати уявлення. Можуть бути тисячі, десятки, сотні тисяч або навіть мільйони постраждалих користувачів, які заходять на ці веб-сторінки, чиї сертифікати доступні тому, хто запропонує найвищу ціну.
Схоже, що електронний лист був надісланий виконавчим віце-президентом DigiCertDigiCert, Джеремі Роулі, генеральним директором компанії Trustico, яка керує сертифікатами TLS, які підтверджують ці сторінки. Усього, електронний лист із вкладенням, що містить усі ключі (загалом до 23 000).
Новина, яка може здатися гумористичною, але, на жаль, це не так. Надзвичайно безвідповідально піддавати ризику таку конфіденційну інформацію Ми не повинні забувати, що електронна пошта не є найбезпечнішим засобом.Будемо уважні до розвитку ситуації.
Джерело | Зображення ArsTechnica | Вікіпедія
