В EV SSL обнаружены дыры
28.03.2009

Веб-сайты, использующие расширенную форму аутентификации, столь же подвержены атакам, что и обладатели обычных сертификатов.

В декабре была впервые продемонстрирована спуфинг-атака через SLL. В ответ издатели сертификатов SSL предложили более сложную (и дорогую) аутентификацию SLL с расширенной проверкой - EV SSL. Некоторое время сертификаты EV SSL считались в достаточной степени защищенными от атак, связанных с внедрением посредника в канал связи.

Независимые исследователи Александр Сотиров и Майк Зусман доказали, что уверенность была обманчивой. Из-за уязвимостей в большинстве браузеров, остается возможность внедрения посредника в канал связи, при этом для потребителя сохраняется видимость работы через защищенный канал по EV SSL.

Работа исследователей была представлена на конференции CanSecWest в Ванкувере.

 
Ваш системный администратор / Новости / В EV SSL обнаружены дыры