Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Uppdaterad | Publicerad

En brist i MD5 utnyttjas för att skapa riggade SSL-certifikat

Säkerhetsforskare har under konferensen "Chaos Computer Congress" visat hur en brist i hash-funktionen MD5 kan utnyttjas för att generera riggade SSL-certifikat.

Med hjälp av en tidigare uppmärksammad brist i hash-funktionen MD5 har ett antal säkerhetsforskare lyckats skapa ett riggat CA-certifikat (Certification Authority), som accepteras som ett betrott certifikat av alla de vanligaste webbläsarna. Med hjälp av CA-certifikatet kan forskarna sedan generera riggade SSL-certifikat för godtyckliga webbplatser.

En webbplats med ett SSL-certifikat som är genererat på ovan sätt kommer således att accepteras som ett giltigt certifikat av webbläsaren.

Problemet beskrivs övergripande av Alexander Sotirov:
http://www.phreedom.org/research/rogue-ca/

En mer detaljerad beskrivning finns här:
http://www.win.tue.nl/hashclash/rogue-ca/

Rich Mogull på Securosis, skriver ett inlägg om saken:
http://securosis.com/2008/12/30/what-average-users-need-to-know-about-the-sslroot-certificate-authority-exploit/