[OWASP-Bulgaria] За SSL сертификатите в държавните институции

Radoslav Vasilev radi at r-n-d.org
Mon Mar 5 22:22:27 UTC 2012


А! Имало хора тук. :)

Майтапа настрана... и аз съм за сбирка. Аз ще съм в София в края на
март, тъй че пишете ако има желаещи за бира или неформална сбирка
някъде.

А по темата за сертификатите, да съгласен съм, че ситуацията хич не е
розова. Като се почне от самоподписаните сертификати (издадени за
localhost :)), мине се през правителствени CAs, та се стигне до
DigiNotar и Trustwave, проблемите със сегашният PKI модел в Интернет
стават все по-дълбоки.

2012/3/5 Stanislav Uzunchev <uzunchev.stanislav at gmail.com>:
> Samopodpisan ili ot nqkoe CA, shemata e edna i sushta :) Rolqta na CA e samo
> tova, che certifacat se izdava ot nqkoi trusted, izvesten. Mafiq si e =/
> Inache se radvam che nqkoi pisa v toq list. Dano ownera, koito i da e
> iztreznee nqkoi den i organizira sbirka, lol.
>
> On Mar 6, 2012 12:02 AM, "Radoslav Vasilev" <radi at r-n-d.org> wrote:
>>
>> Здравейте,
>>
>> Преди 6 години зачекнах темата за SSL сертификатите, които държавните
>> институции използват (част от дискусията ми може да видите на
>> http://goo.gl/j5z8C). OWASP класифицира това на 9то място в Top 10
>> списъка си. Миналата седмица отделих 20тина минути да разгледам
>> сертификатите на няколко от правителствените сайтове, както и на
>> сайтове представящи държавни институции и местна власт. Ето и
>> резултатите от това кратко упражнение:
>>
>> webmail.mee.government.bg: самоподписан
>> nvr.iaja.government.bg: самоподписан
>> www.az.government.bg: самоподписан
>> www.yambol.government.bg: подписан за localhost :)
>> anticorruption.government.bg: подписан от Информационно Обслужване,
>> които не са признати за легитимно CA от Chrome & FF
>> misphare.mee.government.bg: подписан от Банксервиз, същият коментар като
>> за ИО
>> ironport.government.bg: самоподписан
>> daits.government.bg: GoDaddy, ама с грешното FQDN
>> www.grao.government.bg: Банксервиз, издаден за www.grao.bg
>> www.president.bg: издаден от Интернет Общество България, същият
>> коментар като за ИО
>> sonet09.sofia.bg: издаден за localhost
>> mdt.varna.bg: самоподписан
>> pazardjik.bg: Банксервиз, виж по-горе
>> belovo.eu: издаден от kenvelo.bg, които не са легитимно CA и има грешното
>> FQDN
>> nesebarinfo.com: издаден от StarCom с грешното FQDN
>> pay.egov.bg: GeoTrust, с изтекъл срок
>> inetdec.nra.bg: издаден от ИО, виж по-горе
>> payments.nra.bg: самоподписан
>>
>>
>> Та, интересно ми е да ви чуя мнението по този въпрос. Проблем ли е
>> това или не? Ако не е проблем, защо? Ако е проблем, какво решение
>> бихте предложили?
>>
>> Поздрави,
>> Ради
>> _______________________________________________
>> Owasp-bulgaria mailing list
>> Owasp-bulgaria at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-bulgaria


More information about the Owasp-bulgaria mailing list