MarekM <m...@w...interia.i-popraw-tld.polska> writes:

> Wszystko świetnie, tylko certyfikaty SSL też się generuje. W jaki sposób
> są weryfikowane? Często z automatu, przez wysłanie e-maila na adres
> koniecznie w domenie, której dotyczy certyfikat. Jeśli udałoby się w ten
> sposób wygenerować własny certyfikat dla - powiedzmy - inteligo.com.pl
> poprzez "przejęcie" ruchu czy to sprytnym atakiem na BGP, czy na DNS, to
> już samego SSLa łamać nie trzeba.

Ale wlasnie to jest lamanie SSLa. Przeciez nie chodzilo mi o jakies
rozkladanie na liczby pierwsze przez tysiace lat. Rozne CA maja rozne
procedury weryfikacji roznych certyfikatow, to niekoniecznie musi byc
takie proste, ale oczywiscie PKI jest podatne na ataki w ogole.

> To tylko teoria, ale ciekaw jestem,
> jaki procent serwerów DNS nie został jeszcze załatany po ujawnieniu
> dziury znalezionej przez Dana Kaminsky'ego...

To akurat nie byla jakas specjalnie wyjatkowa dziura - protokol DNS
jest podatny na ataki tego typu i nic sie na to nie da poradzic bez
zmiany tego protokolu. Jest takze np. bardzo wiele serwerow celowo
skonfigurowanych tak, by generowaly zapytania zawsze z portu 53, albo
takich robiacych rekursje dla wszystkich.
--
Krzysztof Halasa