Post Friends My journal
dil in securityblogru

Поддельный сертификат для *.google.com

Aug 30, 2011 10:15

обнаружен иранскими пользователями ( Read more... )

certificates

Leave a comment

Comments 4

(The comment has been removed)

dil August 30 2011, 09:59:52 UTC
Интересный вопрос. Там есть скриншот, на котором хром одновременно говорит, что сертификат "malformed, contains invalid fields or not supported" и в соседнем окошке, что "The certificate is OK".

Может, оттого что в нём
X509v3 Key Usage: critical
Digital Signature, Key Encipherment, Data Encipherment

а должно быть TLS Web Server Authentication

Reply

axul August 30 2011, 10:14:56 UTC
Скорее потому, что в Chrome для доменов *.google.com задан HSTS set:

Found: mode: NONE include_subdomains:true domain:google.com is_preloaded:true pubkey_hashes:sha1/4n972HfV354KP560yw4uqe/baXc=,sha1/IvGeLsbqzPxdI0b0wuj2xVTdXgc=,sha1/QMVAHW+MuvCLAO3vse6H0AWzuc0=,sha1/AbkhxY0L343gKf+cki7NVWp+ozk=,sha1/SOZo+SvSspXXR9gjIBBPM5iQn9Q=

Поэтому для этих доменов хром принимает только несколько вполне конкретных сертификатов.

Reply

dil August 30 2011, 10:20:12 UTC
Тогда получается, что он будет ругаться даже на настоящие сертификаты, если Гугл их сменит?

Reply

Thread 5

Leave a comment

Up
Homepage Read journal... Full version Help Русская версия
© 1999-2025 LiveJournal, Inc.