Portál AbcLinuxu, 19. prosince 2025 06:23

Nevyžádané certifikáty pro google.com a www.google.com od Thawte

Google na svém blogu věnovaném online bezpečnosti informuje, že certifikační autorita Thawte vlastněná Symantecem vydala EV (Extended Validation) certifikáty pro google.com a www.google.com, které nebyly vyžádány ani autorizovány společností Google. Zjištěno to bylo na základě logů z Certificate Transparency. Dle oficiálního vyjádření Symantecu se jednalo o chybu lidského faktoru.

21.9.2015 15:51 | Ladislav Hagara | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Vložit další komentář

21.9.2015 16:45 Slavko
Rozbalit Rozbalit vše Re: Nevyžádané certifikáty pro google.com a www.google.com od Thawte

Odpovědět | Sbalit | Link | Blokovat | Admin

K cemu jsou googlu certifikaty, kdyz privatni stejne predhodi NSA ke spehovani. Jen pro ten pocit bezpecnosti spojeni pro uzivatele.

21.9.2015 22:08 M
Rozbalit Rozbalit vše Re: Nevyžádané certifikáty pro google.com a www.google.com od Thawte

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Dost serverů (i Google co koukám) už dneska používá šifry zajišťující perfect forward secrecy.

Tj. při znalosti privátního klíče certifikátů by nemělo být možné pro třetí stranu zpětně dešifrovat zachycenou komunikaci, ta je navíc zabezpečená (EC)DHE.

Samozřejmě jen za předpokladu, že ten server samotný nemá nějaký backdoor...

22.9.2015 10:25 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Nevyžádané certifikáty pro google.com a www.google.com od Thawte

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Google v Chromiu/Chrome provádí pinning (nejen) svých certifikátů, takže i kdyby si NSA nechala podepsat od CA vlastní certifikáty na MITM, s moderními prohlížeči jim to na spoustu webů neprojde (Mozilla jestli se nepletu ten seznam staticky pinnovaných klíčů od Googlu přebírá, takže snad i Firefox je chráněn). Takhle kdysi Google odhalil když tuším Turecko dělalo MITM na jejich servery s falešným certifikátem (byť podepsaným reálnou tureckou CA).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

22.9.2015 10:26 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Nevyžádané certifikáty pro google.com a www.google.com od Thawte

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Tady je odkaz na ten případ s Turky: Rogue Google SSL certificate not used for dishonest purposes, Turktrust says (vyjádření Turktrust je dobrý ROFL )

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

22.9.2015 10:34 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Nevyžádané certifikáty pro google.com a www.google.com od Thawte

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

A tady je seznam pinnovaných certifikátů: https://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json

Kromě certifikátů Google jsou mezi nimi i Tor, Cryptocat, Twitter a Dropbox.

A samozřejmě libovolná webová stránka může používat HSTS + HPKP, pak u ní pinning bude fungovat taky a bezpečnostní model se mění na TOFU (stejně jako je tomu třeba u SSH).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

23.9.2015 10:37 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nevyžádané certifikáty pro google.com a www.google.com od Thawte

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Co to meleš! Google sám o sobě je horší než NSA (koneckonců, NSA jenom dělá svou práci...).

multicult.fm | monokultura je zlo | welcome refugees!

Takže, když nechávali Ti hodní od Gůglu u thawte duplikáty klíčů a certifikátů pro Společnost Proti Kryptografii, někdo to skopal a dal to nepravému poslíčkovi?

Založit nové vlákno • Nahoru

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.