Патч 2641690

Патчу всего несколько часов, а у школьников уже истерика:

Взломали PKI.

Странно что не

Взломали PKI. Всем пиздец. Виновата Единая Россия.

Обычно в таком случае пишется лютый постинг на хабр, содержимое примерно такое

Опять взломали весь PKI, весь Microsoft, весь CRL, весь 'список известных автору аббревиатур'. Ряд анонимных неназваных экспертов, которым я полностью доверяю, говорит, что теперь всем пиздец. И даже амурскому тигру пиздец. Понимаете? Пушистому тигру, про которого мультики — пиздец. А виноват Microsoft. Microsoft убивает тигров. Я думаю, что читающие хорошо понимают, что таким компаниям не место на российском IT-рынке. Выход один — надо вкачать ещё триллионы в разработку национальной ОС. Только полностью домотканная, расписная под хохлому операционка может противостоять таким угрозам. Предлагаю сделать очередной клон мандривы, только с новыми обоями. Пишу это по зову сердца, хотя и являюсь штатным сотрудником упомянутой компании.

На самом деле всё гораздо проще. Данный патч, хоть и помечен как критический, ни к какому взлому всей инфраструктуры PKI отношения не имеет. Просто в одном малазийском CA (под названием DigiCert Sdn. Bhd), сгоряча выдали 22 сертификата с ключом по 512 бит. Microsoft подстраховался от того, что именно эти конкретные ключи кто-то взломает (коротковаты для сегодняшних реалий), и резво выпустил обновление, которое отзывает сертификат этого CA. Притом, заметьте, этот DigiCert — это не корневой DigiCert, а какой-то мелкий малазийский CA, работающий под Entrust’ом.

Т.е. никакой «PKI, Microsoft, DigiCert» не ломали. Вендор подстраховывает клиентов, у которых не включена проверка CRL, либо у которых она не всегда возможна тем, что в дополнение к штатной процедуре отзыва делает патч, который просто пишет в локальное хранилище системы, что конкретному сертификату промежуточного центра доверять нельзя. Это именно подстраховка, потому что патч ставится разово, а CRL проверяется чаще, и проверить его всегда нет возможности, поэтому добавление явно ‘плохого’ сертификата intermediate ca в локальное хранилище является реальной и эффективной мерой.

Разительный контраст в плане внимания к клиентам по сравнению с другими — например, просто прикиньте, прочитав Работают профессионалы, что в этой ситуации делали бы рассматриваемые товарищи. У которых CRL вообще проверяется в локальном каталоге диска C:, или на хосте вида ca-elgorod. И действует до 2061 года.

Реклама
Патч 2641690