Alustaks nädalat digiallkirja-teemaga: nimelt on Verisign suutnud anda välja kaks sertifikaati nimega “Microsoft Corporation” kellelegi kodanikule, kes väitis ennast olevat Microsofti töötaja. Sertifikaadid seejuures sellised, mis sobivad tarkvara, sh ActiveX-komponentide ja Office’i makrode signeerimiseks. Ehk et kui järgmine kord Internet Explorer teatab sulle, et kas sa usaldadseda jupikest mis on pärit Microsoft Corporation’i nimeliselt firmalt, võib selle taga olla midagi üpris destruktiivset. Õnneks ei lähe need sertifikaadid siiski kirja päris-MS-omadena, st isegi kui oled kunagi vastanud “always trust content from…” siis nende puhul küsitakse uuesti.
Verisign on need sertfikaadid küll kehtetuks tunnistanud, paraku ei ole sinu arvutil kusagilt seda kontrollida, sest Verisigni sertifikaadid ei sisalda kehtetute sertifikaatide nimekirja URLi… MS tegeleb paranduste kirjutamisega, kasutajatel ei jää aga seniks midagi muud kui jätta meelde: kui sul palutakse öelda OK Microsoft Corporation’i sertifikaadile, mille kuupäevaks on 30. või 31. jaanuar 2001 — siis palun ära tee seda.
Loe edasi:
- Microsoft vexed by falsified certs (The Register)
- Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard (MS Security Bulletin, sisaldab kirjelduse ja lahendused).
- VeriSign Security Alert Fraud Detected in Authenticode Code Signing Certificates (Verisign)