Fałszywy certyfikat SSL w 10 minut

19 września 2006 0 przez Michał Tomaszkiewicz

Naukowcy z Technische Universitat Darmstadt zaprezentowali sposób na wykorzystanie luki w OpenSSL.

Niecałe 10 minut wystarcza do wygenerowania fałszywego certyfikatu SSL akceptowanego przez wiele przeglądarek internetowych. Oznacza to otwarcie nowych możliwości dla przestępców zajmujących się phishingiem. Twórcy OpenSSL przygotowali i opublikowali zestaw odpowiednich poprawek.

Oszukać nie da się tą metodą Internet Explorera 6 oraz Safari. Bezpiecznie mogą się też czuć użytkownicy Firefoksa 1.5.0.7 – wcześniejsze wersje są niestety wrażliwe na opracowaną przez naukowców metodę. Przeglądarka Konqueror korzysta z systemowych bibliotek OpenSSL; jeśli są one zaktualizowane, użytkownikowi nic nie grozi.

Problem pojawia się w wypadku użytkowników Opery: wszystkie dostępne finalne wersje „nabierają” się na sfałszowany certyfikat. Luka zostanie załatana w nadchodzącej edycji 9.02. Technika opracowana przez niemieckich naukowców umożlwia też oszukanie programów pocztowych, na przykład Thunderbirda w wersjach wcześniejszych niż 1.5.0.7.