Dutch government takes control of DigiNotar CA
5 September 2011, 19:38
Bài được đưa lên Internet ngày: 05/09/2011
Lời người dịch: Vụ DigiNotar, cơ quan chứng thực (CA) mà đã bị đánh thủng vào tháng 7 đặt hàng trăm chứng thực SSL rởm vào lưu thông. “Tuần trước, DigiNotar đã chỉ ra rằng PKIoverheid, qui trình phá hành chứng thực của chính phủ, đã không bị ảnh hưởng bởi cuộc tấn công, nhưng bằng chứng mới gợi ý rằng hình như những kẻ thâm nhập trái phép đã truy cập được tới PKIoverheid. Liệu những kẻ tấn công có lợi dụng được để phát hành các chứng thực ở thời điểm không rõ hiện hành hay không. Chính phủ Hà Lan đã không thu lại bất kỳ chứng thực nào cả dù điều đó có thể gây ra cho các hệ thống dựa vào các chứng thực đó đối với các giao tiếp truyền thông được mã hóa sẽ thất bại. Thay vào đó, chính phủ đã nắm lấy quyền kiểm soát quản lý vận hành DigiNotar và đang giám sát chặt chẽ các hệ thống trong khi chính phủ vận hành một kế hoạch chuyển sang các nguồn chứng thực khác”. Có chứng thực để đảm bảo an ninh an toàn cho hệ thống thông tin, nhưng nếu bản thân các CA và các chứng thực không còn tin cậy được nữa thì sẽ là một thảm họa thực sự.
Chính phủ Hà Lan “đã chiếm sự quản lý hoạt động” của DigiNotar, cơ quan chứng thực (CA) mà đã bị đánh thủng vào tháng 7 đặt hàng trăm chứng thực SSL rởm vào lưu thông. Theo một danh sách liệt kê từ chính phủ Hà Lan, chúng đang đe dọa sự tin cậy trong các chứng thực do DigiNotar phát ra. Nó chỉ ra rằng, dù không có các chứng chỉ nào của chính phủ Hà Lan trong số những chứng chỉ rởm nổi tiếng, thì những người viếng thăm website có thể có các thông điệp cảnh báo rằng các site có thể không còn tin cậy nữa và các giao tiếp máy chủ với máy chủ sử dụng các chứng thực của CA này có thể đã bị phá.
Chính phủ tự phát hành các chứng thực cho các mục đích khác nhau và chúng được ký với “Chính phủ Hà Lan”. Vì qui trình này, chính phủ đã sử dụng các hệ thống đã được vận hành tại DigiNotar. Tuần trước, DigiNotar đã chỉ ra rằng PKIoverheid, qui trình phá hành chứng thực của chính phủ, đã không bị ảnh hưởng bởi cuộc tấn công, nhưng bằng chứng mới gợi ý rằng hình như những kẻ thâm nhập trái phép đã truy cập được tới PKIoverheid. Liệu những kẻ tấn công có lợi dụng được để phát hành các chứng thực ở thời điểm không rõ hiện hành hay không. Chính phủ Hà Lan đã không thu lại bất kỳ chứng thực nào cả dù điều đó có thể gây ra cho các hệ thống dựa vào các chứng thực đó đối với các giao tiếp truyền thông được mã hóa sẽ thất bại. Thay vào đó, chính phủ đã nắm lấy quyền kiểm soát quản lý vận hành DigiNotar và đang giám sát chặt chẽ các hệ thống trong khi chính phủ vận hành một kế hoạch chuyển sang các nguồn chứng thực khác.
The Dutch government has "taken over operational management" of DigiNotar, the certificate authority (CA) which was breached in July putting hundreds of bogus SSL certificates into circulation. According to a factsheet from the Dutch government, they are denouncing trust in certificates issued by DigiNotar. It points out that, although there are no Dutch government certificates among the known fraudulent certificates, web site visitors may get warning messages that sites can no longer be trusted and server-to-server communications which use the CA's certificates may be disrupted.
The government issues certificates itself for different purposes and they are signed with "The Government of the Netherlands". For this process, it has used systems that were operated at DigiNotar. Last week, DigiNotar had pointed out that PKIoverheid, the government certificate issuing process, was not affected by the attacks, but new evidence suggests that apparently the intruders did have access to PKIoverheid. Whether the attackers took the opportunity to issue certificates at that point is currently unknown. The Dutch government has not revoked any certificates yet though, as that may cause systems that rely on the certificates for encrypted communications to fail. Instead, it has taken operational management control of DigiNotar and is closely monitoring the systems as it executes a plan to transition to other sources of certificates.
(djwm)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.