Исходное сообщение
"Рост атак, связанных с захватом контроля над DNS" Отправлено Аноним, 11-Янв-19 22:20
Если злоумышленник имеет контроль над доменом, почему центр сертификации не должен выдать ему Domain Validated сертификат? Такой сертификат подтверждает именно владение доменом. А злоумышленник имеет контроль над ним. Это не проблема центра. Внезапно, да? https://habr.com/post/425261/ > EV-сертификаты мертвы > Десять крупнейших в мире сайтов: нигде нет EV > Остался аргумент с фишингом. Часто заявляется, что EV каким-то образом уменьшает его. Именно такое утверждается на слайде с презентации Entrust с начала этого года: > Здесь целая куча подтасовок, и для анализа лучше всего почитайте этот тред от Райана Слеви. Он проанализировал исследование, на котором основан слайд. > Райан — очень умный криптограф, работающий над Chromium, и у него отличная способность чётко выводить на чистую воду любую чушь. В конце концов он резюмирует ситуацию: «В общем, это плохая статья. Но что ещё хуже, они пытаются выдать её за исследование „на данных”. При этом используют ошибочную методологию и избирательный подход, чтобы поддержать бизнес-модель, которая опирается на пользователей, несущих всю ответственность за обнаружение изменений пользовательского интерфейса». > То есть мы возвращаемся к тому, что EV будет эффективен только если люди меняют поведение из-за изменения UI. В реальности люди не знают, на что обращать внимание, а само это изменение вообще постепенно прекращает своё существование. Либо изменение слишком малозначительное, чтобы люди обращали на него внимание. И фишингу подвержен не только LE: https://news.netcraft.com/archives/2017/04/12/lets-encrypt-a...