Tag Archives: comodo

Comodo 發出微軟 live.fi 的 SSL Certificate...

在「Microsoft Blacklists Fake Finnish Certificate」這邊看到出包,引用的報導來自「Microsoft Blacklists Fake Certificate」,微軟的安全性通知則是在「Microsoft Security Advisory 3046310 (Improperly Issued Digital Certificates Could Allow Spoofing)」這邊。 原因是因為 hostmaster 這個使用者名稱沒有擋下來不讓使用者註冊: In fact, he reports that he was able to register the alias "Hostmaster@live.fi", which he then used to obtain … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security, WWW | Tagged , , , , | Leave a comment

Comodo 的 PrivDog 更厲害:直接關掉 CA Certificate 檢查

感覺接下來的整個月會拿有無窮無盡的 Superfish-like 新聞,下次如果出現 NSA 或是 GCHQ 已經在用這些漏洞的話也不太意外就是了:「Adware Privdog worse than Superfish」。 PrivDog 是 Comodo 發行的 adware,比起 Superfish 更厲害,直接把 CA Certificate 的檢查關掉: It will turn your Browser into one that just accepts every HTTPS certificate out there, whether it's been signed … Continue reading

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , | Leave a comment

addons.mozilla.org 的 Comodo SSL Certificate 被放出 Private Key

之前被人破台,利用 Comodo CA 生出 addons.mozilla.org SSL certification 的 private key 被放出來了:「Comodo Hacker releases Mozilla certificate」。借 Netcraft 的圖: Firefox 的 revoke 機制不怎麼完善,對於用 Firefox 的人,直到 Mozilla 有新的方法解決之前都必須很小心了 :/

Posted in Browser, Computer, Firefox, Murmuring, Network, Security, Software | Tagged , , , , , , , , | Leave a comment

網路愈來愈不安全,能自救的方式並不多...

這兩件事情加起來會不會太巧合... 首先是有攻擊者成功利用 Comodo CA 產生 www.google.com、login.yahoo.com、login.skype.com、addons.mozilla.org、login.live.com 的 SSL certificate:「Report of incident on 15-MAR-2011」,雖然被 revoke (撤銷),但是我們知道 revoke 機制極度脆弱:「Revocation doesn't work」。 過沒幾天,有人發現 AT&T 到 Facebook 的流量會流經中國 ISP 的網路設備:「Facebook traffic mysteriously passes through Chinese ISP」。 關於這幾件事情,我們能做的並不多,只能僅可能的做: 首先先移除 CNNIC 的 CA,步驟用 Google 找應該很多,因為去年二月時有不少人有寫文章:搜尋「移除 CNNIC」。 … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , | 3 Comments