На поддерживаемом МВБ США сайте обнаружена проблема с SSL-сертификатом
Для защиты от фишинговых атак многие сайты используют сертификаты, выдаваемые авторитетными удостоверяющими центрами. Сертификат решает задачу проверки подлинности узла, поскольку важно не только зашифровать данные, но и знать, что тот узел сети, с которым клиентский компьютер обменивается данными, именно тот, за кого себя выдает.
При подключении к защищенному сайту браузер получает от него SSL-сертификат и проводит ряд проверок. Если один из параметров не проходит проверку, браузер отображает уведомление о небезопасном соединении и предлагает покинуть сайт или продолжать просмотр, но с большей осторожностью.
Несмотря на то, что эксперты в области информационной безопасности неоднократно предупреждали о различных проблемах, связанных с сертификатами, не все владельцы сайтов относятся к ним с должным вниманием. Это особенно удивительно, если речь идет о ресурсах, поддерживаемых правительственными структурами, например, Министерством внутренней безопасности США. Речь идет о сайте safetyact.gov, где поясняются положения Закона о безопасности США (U.S. Safety Act), в частности практика освобождения производителей защитных решений для противодействия терроризму от юридической ответственности.
В настоящее время сайт недоступен и любой браузер выдает предупреждение о небезопасном соединении. Как показала проверка, ресурс использует сертификат, не подписанный авторитетным удостоверяющим центром, хотя остальная информация в нем корректна. Примечательно, что проблема была обнаружена еще три недели назад, но до сих пор остается неисправленной.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш