Trustwave vytvořili SSL certifikát umožňující špehování, teď ho revokují

Certifikační autorita Trustwave je zodpovědná za vytvoření digitálního certifikátu, který byl vytvořen pro „jednoho ze zákazníků“. Ten umožňoval vydávat se za libovolný server a při nasazení v DLP (Data Loss Preventions) systému odposlouchávat jakoukoliv  SSL šifrovanou komunikaci, aniž to komunikující vůbec poznal.

Certifikační autorita Trustwave je zodpovědná za vytvoření digitálního certifikátu, který byl vytvořen pro „jednoho ze zákazníků“. Ten umožňoval vydávat se za libovolný server a při nasazení v DLP (Data Loss Preventions) systému odposlouchávat jakoukoliv  SSL šifrovanou komunikaci, aniž to komunikující vůbec poznal.

Podle Clarifying The Trustwave CA Policy Update nešlo o vládního zákazníka, byť přesně tento způsob odposlouchávání šifrované komunikace je možné použít právě v případě vládních organizací monitorujících dění na Internetu. V tomto konkrétním případě byl nasazen na vyhrazeném hardware právě pro SSL proxy a podle prohlášení Trustwave byl tento systém dostatečně zabezpečen, aby nemohlo dojít k dalšímu šíření certifikátu. Zároveň s tím byl daný systém použit pro předem dané (a omezené) účely.

Trustwave ve svém prohlášení upozorňuje, že podobný klíč již v budoucnu vydávat nebudou a systémy tohoto druhu nebudou podporovat. Vydaný certifikát byl společností revokován. 

13 názorů Vstoupit do diskuse
poslední názor přidán 11. 2. 2012 9:14

Školení Instagram pro firemní i osobní marketing

  •  
    Jak zakládat a používat účty.
  • Jak publikovat a vyhodnocovat.
  • Jak si poradit s hastagy.

Detailní informace o školení Instagram»