Hlavní navigace

Trustwave vytvořili SSL certifikát umožňující špehování, teď ho revokují

9. 2. 2012
Doba čtení: 1 minuta

Sdílet

Certifikační autorita Trustwave je zodpovědná za vytvoření digitálního certifikátu, který byl vytvořen pro „jednoho ze zákazníků“. Ten umožňoval vydávat se za libovolný server a při nasazení v DLP (Data Loss Preventions) systému odposlouchávat jakoukoliv  SSL šifrovanou komunikaci, aniž to komunikující vůbec poznal.

Certifikační autorita Trustwave je zodpovědná za vytvoření digitálního certifikátu, který byl vytvořen pro „jednoho ze zákazníků“. Ten umožňoval vydávat se za libovolný server a při nasazení v DLP (Data Loss Preventions) systému odposlouchávat jakoukoliv  SSL šifrovanou komunikaci, aniž to komunikující vůbec poznal.

UX DAy - tip 2

Podle Clarifying The Trustwave CA Policy Update nešlo o vládního zákazníka, byť přesně tento způsob odposlouchávání šifrované komunikace je možné použít právě v případě vládních organizací monitorujících dění na Internetu. V tomto konkrétním případě byl nasazen na vyhrazeném hardware právě pro SSL proxy a podle prohlášení Trustwave byl tento systém dostatečně zabezpečen, aby nemohlo dojít k dalšímu šíření certifikátu. Zároveň s tím byl daný systém použit pro předem dané (a omezené) účely.

Trustwave ve svém prohlášení upozorňuje, že podobný klíč již v budoucnu vydávat nebudou a systémy tohoto druhu nebudou podporovat. Vydaný certifikát byl společností revokován. 

Byl pro vás článek přínosný?

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).