На поддерживаемом МВБ США сайте обнаружена проблема с SSL-сертификатом

На поддерживаемом МВБ США сайте обнаружена проблема с SSL-сертификатом

В сертификате, выданном правительством США, отсутсвует подпись авторитетного УЦ.

image

Для защиты от фишинговых атак многие сайты используют сертификаты, выдаваемые авторитетными удостоверяющими центрами. Сертификат решает задачу проверки подлинности узла, поскольку важно не только зашифровать данные, но и знать, что тот узел сети, с которым клиентский компьютер обменивается данными, именно тот, за кого себя выдает.

При подключении к защищенному сайту браузер получает от него SSL-сертификат и проводит ряд проверок. Если один из параметров не проходит проверку, браузер отображает уведомление о небезопасном соединении и предлагает покинуть сайт или продолжать просмотр, но с большей осторожностью.

Несмотря на то, что эксперты в области информационной безопасности неоднократно предупреждали о различных проблемах, связанных с сертификатами, не все владельцы сайтов относятся к ним с должным вниманием. Это особенно удивительно, если речь идет о ресурсах, поддерживаемых правительственными структурами, например, Министерством внутренней безопасности США. Речь идет о сайте safetyact.gov, где поясняются положения Закона о безопасности США (U.S. Safety Act), в частности практика освобождения производителей защитных решений для противодействия терроризму от юридической ответственности.

В настоящее время сайт недоступен и любой браузер выдает предупреждение о небезопасном соединении. Как показала проверка, ресурс использует сертификат, не подписанный авторитетным удостоверяющим центром, хотя остальная информация в нем корректна. Примечательно, что проблема была обнаружена еще три недели назад, но до сих пор остается неисправленной.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle