19:15
21/6/2011

Włamanie do StartSSL

StartSSL, izraelski wystawca certyfikatów SSL czasowo zawiesił swoje usługi związane z wystawianiem nowych certyfikatów SSL z powodu włamania.

Włamanie do StartSSL

Na stronie wystawcy certyfikatów SSL można znaleźć następujący komunikat:

StartSSL

StartSSL - komunikat o włamaniu

Maintenance
Due to a security breach that occurred at the 15th of June, issuance of digital certificates and related services has been suspended. Our services will remain offline until further notice.
Subscribers and holders of valid certificates are not affected in any form.
Visitors to web sites and other parties relying on valid certificates are not affected.
We apologize for the temporary inconvenience and thank you for your understanding.

Nie wiadomo kto stoi za atakiem, ani jakie dane wpadły w ręce włamywaczy. Wyłączenie wszystkich usług związanych z certyfikatami sugeruje, że atakujący mogli przejąć całkowitą kontrolę nad serwerami StartSSL. Przedstawiciele StartSSL informują, że włamanie nie ma wpływu na bezpieczeństwo certyfikatów wystawionych przed 15. czerwca.

Historia się powtarza…

Przypomnijmy, że kilka tygodni temu włamano się także do innego wystawcy certyfikatów — firmy Comodo. Włamanie do Comodo spowodowało “interesujące/przełomowe” zmiany w kodzie przeglądarek, czyli “hardcodowanie” identyfikatorów kilkunastu fałszywych certyfikatów w blacklistach. Z kolei firma Comodo zebrała złą prasę za kiepski incident handling. Jeśli wierzyć w wypowiedzi osoby, która włamała się do Comodo, motywy ataku były polityczne, a za atakiem stał Irańczyk-geniusz. Ciekawe jak było w przypadku StartSSL…?

StartSSL jest (był?) atrakcyjnym wystawcą certyfikatów “osobistych” (ang. personal) ponieważ wystawiał je za darmo, a dodatkowo poświadczające je CA Startcomu jest rozpoznawalne przez wszystkie przeglądarki.

Przeczytaj także:



17 komentarzy

Dodaj komentarz
  1. No i teraz już Startcomu pewnie nie będzie chciało poświadczać i skończą się darmowe certyfikaty od StartSSL. Kto ma w tym interes?

  2. System się nie sprawdza.

  3. Apropo jest jakaś inny CA nisz Thawte co wystawia (niedawno przestało wystawiać) darmowe certyfikaty imienne (nie tylko z mailem)?

  4. kurcze, a miałem zacząć ze StartSSLu korzystać.

  5. @vonProteus też mnie to ciekawi.

  6. Obawiam się, że teraz z darmowymi certyfikatami może być krucho. No chyba, że takowe zacznie oferować Google czy Facebook, ale musiałby zagwarantować identyfikację osób na podstawie dokumentów a to w przypadku tych instytucji mało realne. Prędzej certyfikaty mogłyby oferować np. banki internetowe, ponieważ maja procedury weryfikacji tożsamości klientów, tyle że to może być dla nich zbyt mało opłacalne by rozszerzać biznes na zupełnie nowy obszar (certyfikat SSL nie jest w końcu produktem tak masowym i popularnym). A i wiarygodność takowych też pozostawia sporo do życzenia, zwłaszcza jeśli tożsamość właściciela certyfikatu nie jest potwierdzana osobiście. Wydaje mi się, że Thawte wycofał się z darmowych certów, bo zabrakło chętnych na notariuszy-wolontariuszy ponoszących przecież odpowiedzialność za zbierane i przechowywane dane, ale nic na tym nie zarabiających (system opierał się na wolontariuszach, którzy potwierdzali tożsamość osoby wnioskującej o certyfikat).

  7. A jak się bierze certyfikat na maila imienny np. taki za 30$ to to jest oplata roczna a nie jednorazowa?
    btw: są jakieś klienty poczty na telefon (iPhone, Android) obsługujące PGP/GPG?

  8. Zapytałem StartSSL czy wznowią darmowe certyfikaty, zrobią to za kilka dni :)

    http://img863.imageshack.us/img863/79/snap20110622111933001.png

  9. @Paweł Nyczaj. Nie do końca było tak różowo i bezpłatnie. Chciałem sobie wyrobić taki certyfikat. Notariusze nie pobierający opłat nie raczyli się do mnie odezwać, a płatnych nie próbowałem. “Bezpłatność” wynosiła średnio 50-70 pln chociaż rekordzista życzył sobie 150 złotych. Pisali to zupełnie oficjalnie i bezwstydnie. Sygnały o tym pewnie docierały do Thawte i pewnie dostawał za swoich “bezpłatnych” notariuszy po uszach.

    • nie prawda ja miałem taki cert za darmo musiałem tylko obejść 4 notariuszy
      a co do płatności to Thawte oficjalnie na to pozwalała

  10. Brawo @vonProteus. Uwielbiam angielski humor.

  11. Panowie po co takie kombinacje szalone, objezdzanie 4 notariuszy jest na pewno darmowe :) albo placenie za ich przyjazd..zwroc Pan tylko koszt dojazdu :)..

    Ja sie wyleczylem bo cert na maila nie kosztuje juz 30$.. skoro mozna za 30-50zl rocznie kupic:

    https://certyfikatyssl.pl/certyfikat-secure-e-mail.html klikam i z glowy..nie potrzebuje niczyjej łaski i marudzenia..

  12. A mi się udało bez żadnych problemów wyrobić za darmo w StartSSL. Trafiłem kiedyś na comiesięczne spotkanie WGUiSW w siedzibie Microsoftu. Akurat wtedy jednym z głównych tematów były certyfikaty i na miejscu było dwóch wolontariuszy. Potwierdzili tożsamość wszystkich na sali, po czym wprowadzili dane do systemu i w niecałą godzinę wszyscy dostali po certyfikacie.

    • jak można w StartSSL wyrobić sobie za darmo cert?

  13. https://www.startssl.com/?app=12 – jak już założysz konto to później trzeba znaleźć dwóch wolontariuszy i umówić się z nimi na potwierdzenie Twoich danych osobowych (potrzebne są do tego dwa dokumenty tożsamości).Listę wolontariuszy znajdziesz gdzieś na StartSSL. Dopiero gdy oni potwierdzą w systemie że jesteś tą osobą za którą się podajesz to będziesz mógł pobrać swój imienny certyfikat (Level 1).

    • Dziwne, ja bez niczego mogę sobie Class 1 wyrobić, od razu po rejestracji

  14. Ale nie imienny

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: