Vulnerabilità man-in-the-middle per SSL e TLS

Riporto i link di una vulnerabilità di SSL e TLS con cui è possibile intercettare traffico cifrato:
http://extendedsubset.com/?p=8
http://www.ietf.org/mail-archive/web/tls/current/msg03928.html
Alcune prime patch di test per le implementazioni di openssl stanno facendo capolino, anche se sta intervenendo il gruppo IETF perché pare che il problema risieda nelle specifiche per la negoziazione dei certificati tra client e server, in particolare in caso di rinegoziazione della sessione.
I dettagli per le modifiche proposte le trovate qui: https://svn.resiprocate.org/rep/ietf-drafts/ekr/draft-rescorla-tls-renegotiate.txt.
Attendiamo fiduciosi di poter applicare le patch sui nostri client e server per questo problema che pare molto serio.


This entry was posted on Friday, November 6th, 2009 at 6:39 PM and is filed under security.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Comments are closed.