<<< Firefox syncPatchelni vagy nem patchelni - ősi kínai bölcsesség >>>

Comodo vs Verisign2010-06-28
A Comodo nevű hitelesítés szolgáltató honlapján megjelent hír szerint a Comodo súlyos hibát talált a Verisign tanúsítvány-kibocsátási eljárásában, és e hibát jelezte a Verisignnak.

A Verisigntól Tim Callan az SSL Blogjában reagált, miszerint szerinte egyáltalán nincs szó súlyos hibáról, a Comodo apróságot talált, amit azóta javítottak.

A megjelent hírekből annyit állapítottam meg, hogy a Comodo a Google keresések segítségével megtalált a Verisign oldalán egy olyan speciális tanúsítvány-igénylő lapot, ahol egy nagy bank küldi be az igényléseit. Ez egy dedikált, nem nyilvános igénylő oldal, amit csak ez a bank használ, de úgy értettem, az oldal még egy jelszót is kér. Ha ez igaz, akkor ha a Verisign korrektül jár el a tanúsítvány kibocsátása során, és az oldalt védő jelszó erős, akkor ez egy kellemetlen, de nem jelentős biztonsági probléma.

A Comodo az utóbbi időben nagyon megerősödött, aggresszív marketing stratégiával nyomul a piacon. Például, sok biztonsági szoftvert - tűzfalat, vírusölőt - teljesen ingyenesen ad, ezzel csinál reklámot a tanúsítványainak.

Lényeges, hogy a hitelesítés szolgáltatók gondosan járjanak el a tanúsítvány-kibocsátások során, különben minden Internet felhasználót veszélyeztetnek.

A sebezhetőség nyilvánosságra hozatala során a Comodo a Common Computing Security Standards Forum (CCSS) ajánlásait követte, és egy független harmadik felet kért fel közvetítőnek. Igaz, a hiba jelzését követően alig néhány nappal már a honlapjunkon is közzétették a hírt, így az eljárásuk aligha tekinthető barátságosnak.

Nem ismervén a sebezhetőség pontos részleteit, én mindezt egyelőre a Comodo marketing stratégiája részének tartom.

Ui: Korábban egy Comodo-partner eljárásában derült fény hibára, amelynek következtében a Comodo ellenőrzés nélkül bocsátott ki SSL tanúsítványt. Az valóban csúnya ügy volt.

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.