Suurin osa käyttäjistä todennäköisesti tuntea olonsa turvalliseksi nähdessään riippulukko selainikkunassa mikä näyttäisi osoittavan, se on varma ja turvallinen kommunikoida sähköpostitili tai pankki. Vaikka SSL on parempi kuin ei mitään, tiedämme myös se varmasti ei pysähdy man-in-the-middle (MITM) hyökkäyksiä. Enemmän tai vähemmän, luotamme selaimet hiljaa hyväksyä luotettava digitaalinen varmenteet Certificate Authority (CA), jotta voimme luottaa siihen, että sivusto, johon me surfed on aito ja todellinen sivusto.
Mutta on heikentynyt CA, cyberthugs takana rogue todistukset voi matkia HTTPS liikenteen kyseisistä sivustoista. Ajattele, kuinka paljon ihmiset käyttävät Google, Skype, tai Yahoo. Tämä oli iso, ihmiset!
Se voi olla erittäin mukana kääriä aivoihin noin Varmentajat (CA), miten ne toimivat, ja miten järjestelmä on virheellinen.
Hyökkääjä väärennettyjen todistusten ja pääsy kohde Internet-yhteyden voi käynnistää MITM hyökkäyksen, mikä tekee mahdolliseksi salakuunnella, tarkkailemalla ja /tai tallentamaan kaikki salattu verkkoliikenne vaarantua sivuston, kun käyttäjä on Clueless, mitä tapahtuu. Vaikka se ei ole
Big Brother, jonkun Big Brother
oli, selaimen ja jakamassa sertifioitu valheita. Onneksi on olemassa ihmisiä kuten Jaakob Appelbaum katsella ulos meitä paikalla petollisen CA.
Turvallisuus tutkija ja Tor kehittäjä Jaakob Appelbaum teki suuria tutkii ja sitten ihana kirjoittaa ylös CA kompromissi ja lähellä peittely useiden petollinen CERT. Appelbaum, joka tunnetaan myös nimellä IOError Twitterissä, löysi CA kompromissi luonnossa. Hän kirjoittaa: "Viime viikolla, tupakointi ase tuli näky: Varmentaja näyttää vaarantuvan jonkin verran kapasiteettia, ja hyökkääjä antoi itse voimassa HTTPS todistukset arvokkaiden sivustoja.
Näiden todistusten, hyökkääjä voi matkia identiteettiä uhrin sivustojen tai muiden niihin liittyvien järjestelmien, luultavasti huomaamattomasti useimpien käyttäjien internetissä. "
Hän otti yhteyttä Google ja Mozilla, mutta pidettiin kauppasaarto noin julkistamista. Vaarantunut todistukset laati USERTRUST Network joka on osa Comodo. Google oli paikattu Chrome viime viikolla ja Mozilla onnistunut sisällyttämään mustan listan Firefox 4.
Kun Mozilla blogged asiasta, joten ei Applebaum - johon sisältyi yksityiskohtainen selvitys sekä epäillä "tämä toiminta on ottanut valtion tasolla vastustaja."
Kun Comodo vihdoin julkilausuman, se vahvisti, että Appelbaum epäilykset oliv