Mozilla, Microsoft zurückzuziehen Vertrauen in Malaysia zwischen-CA

2013-12-30  |  Comebuy News

Mozilla und Microsoft sagte am Donnerstag, dass sie Vertrauen in alle Bescheinigungen von Digicert, einer malaysischen intermediate Zertifizierungsstelle (CA), nachdem festgestellt wurde, dass es 22 Zertifikate mit schwachen 512-Bit-Schlüsseln und fehlende Zertifikaterweiterungen und Sperrinformationen ausgestellt hatte widerrufen.

Comebuy Verwandte Artikel: Apple Silent auf DigiNotar-Zertifikate-HackMicrosoft-blacklists alle DigiNotar-CertificatesHow schützen Sie sich vom Zertifikat BanditsBreached SSL Zertifikat Behörde unterbricht SalesGoogle sagt Gmail Angriff auf iranische Ziele konzentriert

Das malaysische Unternehmen erging ein Zwischenzertifikat im Juli 2010 von Entrust in Dallas, Texas, lizensiert für Verteilung mit SSL (Secure Sockets Layer) und S/MIME (Secure/Multipurpose Internet Mail Extensions) Zertifikate.

Vertrauen Sie, sagte in einem Bulletin auf seiner Website, dass es entdeckt worden war, ob Digicert Malaysia mit schwachen 512-Bit RSA-Schlüssel und fehlende Zertifikaterweiterungen Zertifikate ausgestellt hat. Übertragen von Digicert ausgestellten 512-Bit-Zertifikate widerrufen und machte sie zur großen Browser-Hersteller wenn schwarze Liste gegebenenfalls gefunden es hinzugefügt hat.

Digicert in Malaysia muss keine Beziehung zu DigiCert, eine CA Sitz in Utah.

Digicert in Malaysia konnte nicht sofort für eine Stellungnahme erreichen. Es sagte auf seiner Website, dass es im Mittelpunkt einer effektiven Vertrauensmodell, die die malaysische Regierung erstellt wird, um das Problem der Informationssicherheit und die negative Wahrnehmung von online-Transaktionen. Die Firma sagte, dass es durch die Regierung von Malaysia und seine "sind Vertrauen Lösungen rechtlich nach Malaysia Recht erkannt" lizenziert wurde.

Anvertrauen sagte, es wird das Zwischenzertifikat vor Dienstag, Digicert Malaysias Kunden ein "bescheidenes Maß an Zeit" geben oder zu widerrufen, ihre SSL-Zertifikate zu ersetzen. Vertrauen hat inzwischen das Zwischenzertifikat zur Verfügung gestellt, die Browser-Hersteller für schwarze Listen.

Die betreffenden Zertifikate zu einer Mischung der malaysischen Regierung Websites und interne Systeme ausgegeben wurden, sagte Mozilla in seinem Sicherheits-Blog. "Wir glauben nicht, dass andere Websites in Gefahr sind," hat es.

Mozilla ist das Vertrauen in alle von Digicert in Malaysia, beim klären, dass es kein bestimmtes Firefox-Problem war, und das Update wird in Firefox 8 und Firefox 3.6.24 ausgestellten Zertifikate widerrufen. Mozilla sagte, dass es das Problem von Entrust berichtet wurde.

Firefox 3.6.24 ist geplant am November 8 erscheinen während Firefox 8 am 17. November release wird laut Mozilla.

Microsoft wird Vertrauen in Digicert Malaysia in einem Update über Windows Update freigegeben werden Sperren. sagte Jerry Bryant, Gruppenleiter, post Antwort Kommunikation für Trustworthy Computing im Unternehmen, in einem Blog.

"Es gibt keine Anzeige, die alle Zertifikate arglistig ausgestellt wurden, jedoch haben diese schwachen Schlüssel erlaubt, einige der Zertifikate gefährdet werden," sagte Bryant. Die kompromittierte Zertifikate könnte ein Angreifer imitieren den rechtmäßigen Besitzer, wodurch des Benutzers glauben, sie sind Vertrauen in eine Website oder eine signierte Software, die für böswillige Verwendung erstellt wurde, fügte er hinzu.

Es gibt keinen Beweis, dass die Zertifizierungsstellen Digicert Malaysia kompromittiert wurden, sagte Entrust.

In der Nähe von 300.000 eindeutige IP-Adressen aus dem Iran verlangt Zugriff auf Google mit einem Rogue-Zertifikat ausgestellt von der niederländischen Zertifizierungsstelle DigiNotar, laut einem Bericht im September von Sicherheitsfirma, Fox-IT veröffentlicht. Insgesamt 531 digitale Zertifikate wurden ausgegeben für Domänen, die Google, der CIA und israelischen Mossad, nach einer Sicherheitsverletzung zu enthalten.

« Back