Про поддельные сертификаты Google

На днях стало известно, что голландская компания DigiNotar еще в июле 2011 года выдала неизвестным лицам SSL сертификат для домена google.com. После того, как сертификат был замечен в атаке против одного иранского пользователя и недолгих разбирательств, стало ясно, что любой человек, пользующийся сервисами Google, например, Gmail или Google Docs, рискует нарваться на неприятность.
Google, Microsoft и Mozilla уже удалили DigiNotar из списка доверенных и пообещали выпустить соответствующие обновления безопасности для браузеров. Со стороны Apple пока комментариев не поступало, поэтому рассчитывать можно только на собственные силы.
Компания Coriolis опубликовала инструкцию, которой можно воспользоваться, чтобы обезопасить свою операционную систему. Нужно только иметь ввиду, что после проведенной операции могут стать недоступными некоторые сайты (в том случае, если их сертификаты также были выданы компанией DigiNotar.
Вам потребуется сделать следующее:
– запустить Keychain Access и в строке поиска (в верхнем правом углу) ввести “digino”:
Keychain Access 1
– дважды кликнуть на найденном сертификате “DigiNotar Root CA”
– в открывшейся карточке сертификата раскрыть пункт Trust и в выпадающем списке первой строчки выбрать “Never Trust”:
DigiNotar Cert
– закрыть карточку сертификата и по запросу системы ввести пароль администратора
– убедиться, что сертификат получил красную метку, подтверждающую исключили из списка доверенных:
Keychain Access 2
Напоследок добавлю, что для пущей безопасности можно вообще удалить его из системы. Были отмечены случай, когда исключенный сертификат продолжал работать, что связывают с неограниченным доверием Safari к корневым сертификатам системы.

P.S. Apple все же выпустила обновление безопасности для Snow Leopard и Lion, сочиненное по следам вышеописанных событий. Подозреваю, что оно зачищает систему более тщательно, однако же и не оставляет возможности поработать с вашими любимыми сайтами, если вдруг окажется, что их сертификаты тоже были выпущены DigiNotar. Cпособ, предложенный Coriolis, оставляет пространство для маневра, поскольку вы всегда можете снова вернуть сертификату статус доверенного.

Bookmark and Share