[FUG-BR] [off-topic] Compra Certificado SSL
Jean Everson Martina
everson em inf.ufsc.br
Terça Agosto 11 07:07:26 BRT 2009
> b) não vou procurar (preguiça commands) mas recentemente li um artigo
> que mostrava a possibilidade de quebra dêsses certificados; alguma
> coisa nêste link:
> http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=ssl+certificates+vulne
O ataque é um null byte no campo CN do certificado. Não é um problema
do certificado em si, mas dos parsers dos browsers. O que acontece é
que agora as ACs estão verificando esse null byte nos novos
certificados e pronto.
Um ataque MITM é possivel, mas pra isso você precisa estar bem
posicionado e conseguir envenenar os DNS da pessoa. Essa
vulnerabilidade combinada com a do bind também no mes passado é que
pode tornara coisa um pouco mais perigosa.
Jean
Mais detalhes sobre a lista de discussão freebsd