Como burlar o CA em conexões SSL
Para provar que nem sempre se pensa em tudo, Dan Karminsky e Moxie Marlinspike conseguiram, ambos da mesma forma, burlar a segurança do CA em assinaturas SSL. A idéia é bem simples, ao registrar um domínio válido, digamos badguy.com, você pode requisitar um CA que será confirmado via whois e email, porém se você pedir para requisitar um subdomínio seu, digamos paypal.com\0.badguy.com, o CA irá ser válido, porém os browsers ao encontrarem o ‘\0′ (caractere nulo) irão acreditar que é o domínio correto e deixar passar.
Fonte: Slashdot.
You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
