[Info] Rogue-CA


Status
Not open for further replies.

tajidyakub

Apprentice 1.0
Sekedar Info;

http://www.win.tue.nl/hashclash/rogue-ca/ .

Beberapa SSL Cert Auth (CA) yang menggunakan MD5 (affected); Mohon info kalau ada yang pernah baca rilis resmi dari CA terkait mengenai hal ini.


  • RapidSSL
    C=US, O=Equifax Secure Inc., CN=Equifax Secure Global eBusiness CA-1
  • FreeSSL (free trial certificates offered by RapidSSL)
    C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Network Applications
  • TC TrustCenter AG
    C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks GmbH, OU=TC TrustCenter Class 3 CA/[email protected]
  • RSA Data Security
    C=US, O=RSA Data Security, Inc., OU=Secure Server Certification Authority
  • Thawte
    C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/[email protected]
  • verisign.co.jp
    O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server CA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
 

YosDuoS

Poster 1.0
kemungkinan hal ini yang menyebabkan harga CRT kelas lowend turun 2 tahun belakangan.

sertifikat CA bisa dipalsukan sehingga website phissing bisa memiliki CA yang serupa. kira2 seperti itu bukan kalau disederhanakan ?

Walaupun lebih baik daripada tidak menggunakan SSL. jadi terpaksa mempertimbangkan CRT dengan level yang lebih tinggi.

terima kasih infonya, pak tajid :)
 

tajidyakub

Apprentice 1.0
Betul Pak Yos kurang lebih begitu, yang tidak terpengaruh adalah yang menggunakan SHA-1, misalnya kelas Extended Validation (EV) yang harganya selangit.

Berdasarkan tulisan berikut; http://blogs.techrepublic.com.com/security/?p=724 , disitu dinyatakan bahwa yang beresiko adalah Cert yang baru diterbitkan, sementara cert eksisting meskipun disign oleh MD5 tidak terganggu.

Namun demikian, dari beberapa pihak, termasuk verisign;https://blogs.verisign.com/ssl-blog/2008/12/on_md5_vulnerabilities_and_mit.php , sudah berancang-ancang untuk menggantikan MD5, rencananya akhir Januari 2009 sudah diimplementasikan.
 
Status
Not open for further replies.

    
Top