Возможно ли «тривиально просто» получить SSL сертификат для домена, которым вы не владеете?

BetaNews только что опубликовала рассказ об исследователе безопасности, который утверждает, что «тривиально просто» получить SSL сертификат  для домена, которым вы не владеете, тем самым утверждая, что центры сертификации бесполезны.

Правда ли это? Едва ли. Его жалоба исходит от 1 конкретной ситуации: зная, что какой-то SSL провайдер попал в просак выпуская domain-validated сертификат. Он отправил сообщение на адрес в домене, который обычно используется администратором, например administrator@domain.com, ssladmin@domain.com, и postmaster@domain.com, Курт Сейфрид предложил воспользоваться бесплатной службой электронной почты и регистрации для получения адреса электронной почты, так что в итоге можно одобрить сертификат бесплатно и чисто.

Ok. Это работает. Если вы сможете найти почтовую службу, этой оплошности хватит, чтобы зарегистрировать административный адрес, далее «тривиально просто» получить SSL сертификат для домена. А получить сертификат для домена, который был бы полезен для фишинга, например www.bankofamerica.com или www.ebay.com? Нет. Только электронная почта бесплатных доменов. Не так обнадежывающе.

Но это подчеркивает проблемы с domain-validated сертификатами: их слишком просто получить. Есть и другие методы получения административных адресов электронной почты на «полезные» домены (скажем, bankofamerica.com), такие как делать DNS нападения на маршрут электронной почты, по которому SSL провайдер отправит письмо на ваш сервер электронной почты вместо сервера Bank of America.

Так какое же решение. Это не панацея, но EV SSL сертификаты продвигают решение этой проблемы. Bank of America использует EV SSL сертификат на своем сайте. И даже если злоумышленник сможет каким-то образом получить domain-validated сертификат для www.bankofamerica.com и совершить нападение «человек в середине», большинство посетителей заметят, что адресная строка не зеленая и есть проблемы.

Многие сомневаются, что посетители замечают какую-либо разницу между EV сертификатом и domain-validated сертификатом. Может быть, это правда. Но это проблема образования. Возможность проведения нападения «человек в середине» сведена к минимуму. И «тривиально просто» увидеть беспочвенность претензий Курта.

Комментарии запрещены.