[Info] Rogue-CA

Discussion in 'Masalah Teknik dan Keamanan' started by tajidyakub, 6 Jan 2009.

Thread Status:
Not open for further replies.
  1. tajidyakub

    tajidyakub Apprentice 1.0

    Messages:
    379
    Likes Received:
    6
    Trophy Points:
    18
    Sekedar Info;

    http://www.win.tue.nl/hashclash/rogue-ca/ .

    Beberapa SSL Cert Auth (CA) yang menggunakan MD5 (affected); Mohon info kalau ada yang pernah baca rilis resmi dari CA terkait mengenai hal ini.


    • RapidSSL
      C=US, O=Equifax Secure Inc., CN=Equifax Secure Global eBusiness CA-1
    • FreeSSL (free trial certificates offered by RapidSSL)
      C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Network Applications
    • TC TrustCenter AG
      C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks GmbH, OU=TC TrustCenter Class 3 CA/emailAddress=certificate@trustcenter.de
    • RSA Data Security
      C=US, O=RSA Data Security, Inc., OU=Secure Server Certification Authority
    • Thawte
      C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
    • verisign.co.jp
      O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server CA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
     
  2. YosDuoS

    YosDuoS Poster 1.0

    Messages:
    82
    Likes Received:
    0
    Trophy Points:
    6
    kemungkinan hal ini yang menyebabkan harga CRT kelas lowend turun 2 tahun belakangan.

    sertifikat CA bisa dipalsukan sehingga website phissing bisa memiliki CA yang serupa. kira2 seperti itu bukan kalau disederhanakan ?

    Walaupun lebih baik daripada tidak menggunakan SSL. jadi terpaksa mempertimbangkan CRT dengan level yang lebih tinggi.

    terima kasih infonya, pak tajid :)
     
  3. tajidyakub

    tajidyakub Apprentice 1.0

    Messages:
    379
    Likes Received:
    6
    Trophy Points:
    18
    Betul Pak Yos kurang lebih begitu, yang tidak terpengaruh adalah yang menggunakan SHA-1, misalnya kelas Extended Validation (EV) yang harganya selangit.

    Berdasarkan tulisan berikut; http://blogs.techrepublic.com.com/security/?p=724 , disitu dinyatakan bahwa yang beresiko adalah Cert yang baru diterbitkan, sementara cert eksisting meskipun disign oleh MD5 tidak terganggu.

    Namun demikian, dari beberapa pihak, termasuk verisign;https://blogs.verisign.com/ssl-blog/2008/12/on_md5_vulnerabilities_and_mit.php , sudah berancang-ancang untuk menggantikan MD5, rencananya akhir Januari 2009 sudah diimplementasikan.
     
  4. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    tapi dengan adanya perubahan itu, dari penggunaan cpanel/whm untuk generate CRT tidak ada perubahan khan ya?
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...