ახლახანს გაცემული ციფრული სერთიფიკატები შიდა ჰოსტინგისთვის ეძებდნენ აკრძალვას ბოროტად გამოყენების გამო სხვა CA არ იძლევა ახალ ჰოსტინგის სერვერს და იყენებენ ძველს, რომელსაც აქვს სერიოზული შეცდომები
[dropcap] C [/ dropcap] omodo ორშაბათს თქვა, რომ შეცვალა შეცდომა, რამაც გამოიწვია ზოგიერთი აკრძალული დამატებითი ავტორიზაციის გაცემა. სხვა CA- ს შეიძლება იგივე პრობლემა ჰქონდეს სერტიფიცირებული ორგანოს სერთიფიკატების გაცემაში, მაგრამ ზოგიერთი უფლებამოსილი ორგანო, რომლის უსაფრთხოების დარღვევაც არ არის ცნობილი, კვლავ იყენებს იგივე ფორუმში კომპონენტი, ეს არის ის, რაც უნდა გაიწმინდოს ჰოსტინგის სერვერისგან, ახალი სერვერი შეიქმნა მენეჯმენტის მიერ, მაგრამ ზოგიერთ სხვა CA– ს არ აკლია ეს ახალი სერვერი.
CA / Browser Forum (CAB) - ის ახალი მითითებებით, რომელიც ძალაში შევიდა ნოემბრიდან. 1, სერტიფიკაციის ორგანომ (CA) არ უნდა გასცეს SSL / TLS (Secure Sockets Layer / Transport Layer Security) სერთიფიკატები შინაგანი მასპინძლების სახელებისათვის. Comodo მზად იყო პრინციპის ცვლილებისთვის, თუმცა, ოქტომბერში, მისი გამოცემის ჩარჩოში წარმოდგენილი იყო "შეუმჩნეველი შეცდომა". 30-მა დაწერა რობ სტრედლინგი, ინოვაციური მუშაობის უფროსი მკვლევარი, CAB ფორუმის პოსტში.
”მიუხედავად ჩვენი კოდის აუდიტისა და QA ფორმებისა, ამ შეცდომამ ის გადააკეთა შექმნის კოდად”, - დაწერა სტრედინგმა. შედეგი იყო ის, რომ გაცემული იქნა რვა მოწონება, რაც არ უნდა ყოფილიყო და ეს ავთენტიფიკაციები უარყოფილი იქნა, მან შეადგინა. სხვადასხვა CA- ს შეიძლება იგივე პრობლემა ჰქონოდა. Stradling- მა თქვა, რომ "ჩვენ აღმოვაჩინეთ სხვადასხვა CA- ს მნიშვნელოვანი რაოდენობის მიერ გაცემული რეზისტენტული ავთენტიფიკაცია, მაგრამ მე ამას სხვა არქივში დავარქივებ".
მოტივაცია, რის გამოც CA– მ უნდა გასცეს SSL / TLS ანდერძი შინაგანად, არის ცენტრში თავდასხმების თავიდან აცილება. ორგანიზაციებმა და ასოციაციებმა ჩვეულებრივ შეიძინეს SSL / TLS ანდერძი სერვერებისთვის ან გაჯეტებისთვის, რომელთა შინაგანი ჰოსტის სახელებია, რაც ზოგადი საზოგადოების ინტერნეტიდან არ ჩანს. ეს ანდერძი გამოიყენება მანქანების დასაზუსტებლად, რომლებიც ერთმანეთთან საუბრობენ. როგორც არ უნდა იყოს, რადგან ასოციაციები არ არიან CA, მათ სჭირდებათ CA- სგან ამ ავთენტიფიკაციების შეძენა.
მიუხედავად იმისა, რომ CA მიიღებს მოთხოვნას კომპიუტერიზირებულ ავტორიზაციას ღია ადგილებში, იმის გარანტია, რომ სწორი ელემენტი ითხოვს მას, მათ ამის გაკეთება არ შეუძლიათ შინაგანად. ეს საშუალებას აძლევს აგრესორს შეიძინოს მოწინავე დამტკიცება სერვერისთვის, რომელსაც აქვს უხვი სახელი მაგალითად, "local.host" და შემდეგ გამოიყენეთ იგი თავდასხმაში სხვისი კოდირებული ინფორმაციის აქტივობის სანახავად ასოციაცია
ასევე წაიკითხეთ:
2016 წლის ოქტომბრისთვის CA- მ უნდა უარყოს შიდა მასპინძლების ანდერძი, თუ ამ რეკომენდაციებს ვადა არ გაუვიდა. Stradling– მა დაადგინა, რომ ცხელი ფიქსაცია მიითვისეს კომოდოს მიერ საკითხის აღმოჩენის შემდეგ, დაახლოებით ორი საათის შემდეგ. ”ჩვენ ვწუხვართ, რომ ამ იმპერატივის გამოყენება და საკმაოდ დიდი ხნის წინ trialed სტრატეგიის ცვლილება დაეცა იმ ნიშნულების ქვეშ, რომლებიც ჩვენგან არის მოსალოდნელი და რომელსაც საკუთარი თავისგან ველით ”, - ამბობს სტრედლინგი შედგენილი.