Otoritas sertifikat Brasil yang hanya dipercaya Microsoft menerbitkan sertifikat untuk google.com

 (follow.agwa.name)
1 poin oleh GN⁺ 2024-12-01 | 1 komentar | Bagikan ke WhatsApp
  • Andrew Ayeragwa14h
    • Otoritas sertifikat di Brasil dipercaya oleh Microsoft dan tampaknya menerbitkan sertifikat yang tidak disetujui untuk google.com. Hal ini dapat memungkinkan pencegatan lalu lintas menuju Google di Edge dan aplikasi Windows lainnya (kecuali Chrome dan Firefox). Microsoft mengetahui dengan baik riwayat masalah terkait otoritas sertifikat ini, telah menyampaikan kekhawatiran pada 2021, dan masalah tambahan juga diangkat dalam diskusi publik CCADB pada 2022. Semoga insiden ini memicu perubahan. Pengguna Windows berhak mendapatkan layanan yang lebih baik.
  • Andrew Ayeragwa12h
    • Sebagai contoh ketidakmampuan otoritas sertifikat, keberadaan subjek sertifikat yang memuat nomor seri anak perusahaan Google bukan berarti sertifikat itu disetujui oleh Google. Otoritas sertifikat dapat memasukkan apa pun yang mereka inginkan ke dalam field tersebut, dan otoritas ini jelas tidak memverifikasi dengan benar isi yang dimasukkan ke dalam sertifikat.
  • Andrew Ayeragwa10h
    • Proksi serangan man-in-the-middle di lingkungan perusahaan sangat berbahaya.

Bacaan terkait

1 komentar

 
GN⁺ 2024-12-01
Komentar Hacker News

  • Ada kekhawatiran soal ICP-Brasil yang menghentikan penerbitan sertifikat SSL/TLS publik

    • Ada kasus seseorang mengakali larangan penerbitan sertifikat publik dan mengabaikan aturan CAA milik Google
    • Ada pendapat yang berharap otoritas sertifikat ini diblokir di OS Microsoft

  • ICP-Brasil adalah lembaga pemerintah yang menangani urusan terkait tanda tangan digital

    • Lembaga ini berperan penting dalam penandatanganan kontrak digital, akses laporan pajak, dan sebagainya

  • Chrome dan Firefox sudah tidak lagi mempercayai otoritas sertifikat ini

    • Microsoft/Windows yang mempercayai otoritas sertifikat yang tidak dipercaya browser utama lain terlihat sebagai situasi yang lebih buruk

  • Ada pendapat yang menyoroti cacat pada sistem

    • Sejak 15 tahun lalu saat menggunakan online banking, sudah menyadari adanya cacat pada sistem
    • Saat ditanya siapa penerbit sertifikat bank, pihak bank tidak bisa menjawab
    • Ini adalah proses yang didasarkan pada ketidaktahuan soal keamanan dan kepercayaan buta

  • Ada pendapat bahwa "pengguna Windows pantas mendapatkan yang lebih baik"

    • Disebutkan juga sikap tidak peduli Microsoft terhadap penggunanya dan kemungkinan gugatan hukum

  • Ada pendapat bahwa Microsoft kurang transparan dalam hal mempercayai otoritas sertifikat

    • Situs web yang masuk akal seharusnya menggunakan sertifikat yang dipercaya browser utama seperti Chrome

  • Ada pendapat yang bertanya apakah ada cara menggunakan trust store Chrome di Windows/Edge

  • Ada pendapat yang ingin mengetahui daftar otoritas sertifikat yang terkait dengan negara

  • Ada pendapat bahwa dari postingan asli tidak jelas apakah masalah ini disengaja atau hanya kesalahan

  • Ada pendapat bahwa diperlukan sistem di mana lembaga independen memberikan penilaian kepercayaan terhadap otoritas sertifikat dan pengguna bisa mempertimbangkan pendapat dari beberapa lembaga

  • Ada pendapat bahwa masalahnya adalah perusahaan menjadi terlalu besar