Berita Internet (IT) N3, yang memberikan informasi terbaru kepada users N3 tentang IT pada khususnya dan lainnya pada umumnya. Google Deteksi Sertifikat Digital Palsu
Google mendeteksi a&ya sertifikat digital palsu yg dikeluarkan oleh MCS Holding, salah satu perusahaan keamanan yg bertempat di Mesir. Pertama kali Google mendeteksi sertifikat digital palsu itu pada tanggal 20 Maret yg lalu. Sertifikat digital palsu itu ditempatkan di beberapa domain Google. Perusahaan besutan Larry Page & Sergey Brin itu menyatakan keberatannya pada MCS Holding karena dengan a&ya sertifikasi digital itu, maka penyerang dapat melakukan intersepsi komunikasi antara pengguna & situs yg diaksesnya. MCS Holding sebagai salah satu perusahaan yg memegang perusahaan itu mendapatkan delegasi dari China Internet Network Information Center (CNNIC).
Uniknya, sertifkat digital tersebut hampir tidak terdeteksi di sejumlah perambah & sistem operasi. Dengan a&ya sertifikat palsu itu, perlindungan keamanan yg biasanya digunakan di layer TSL orpun SSL tidak akan aman lagi. Sertifikat digital berfungsi untuk mengamankan jalur komunikasi secara aman melalui enkripsi jika pengguna ingin mengakses situs yg membutuhkan fitur log-in & password. Adam Langley, insinyur keamanan dari Google mempublikasikan temuannya di blog pribadinya. Berdasarkan temuannya, Langley menyatakan bahwa CNNIC mengeluarkan sertifikat tersebut untuk bisa dideteksi di semua situs & sistem operasi. Hanya Chrome di Windows, OS X, Chrome OS & Mozilla 33 yg bisa menangkal sertifikat palsu ini karena memiliki public key pinnings, kata Langley.
Kami sudah mengontak CNNIC terkait hal ini. Mereka mengatakan bahwa CNNIC terikat kontrak untuk membuat sertifikat digital pada domain yg sudah CNNIC daftarkan, ujar Langley. Alih-alih membuat sertifikat digital yg aman, MCS Holding malah membuat kerentanan man-in-the-middle proxy, lanjutnya. Langley mengatakan bahwa dengan vulnerability tersebut, pihak ketiga bisa melakukan intersepsi pada jalur komunikasi aman antara pengguna dengan situs yg diaksesnya. CNNIC masih mendelegasikan pembuatan sertifikat digitalnya pada MCS. Se&gkan perusahaan itu tidak memiliki kapabilitas, tegas Langley.
Hingga saat ini, MCS Holdings masih belum bisa dikontak terkait sertifikat digital palsu tersebut. Permasalahan sertifikat digital ini menjadi sorotan setelah sebelumnya FREAK Flaw menghantui semua situs & perambah yg ada di dunia dengan menurunnya kekuatan enkrispi pada jalur TSL & SSL. Para praktisi keamanan Google pun mengeluarkan sebuah proyek yg disebut Certificate Transparency. Pada intinya, proyek tersebut bertujuan untuk mendeteksi sertifikat palsu yg umumnya dimanfaatkan hacker untuk mencuri data.
Comments
comments
N3 tidak bisa memberikan klarifikasi berita diatas adalah benar 100% karena kontenGoogle Deteksi Sertifikat Digital Palsu diatas dikutip dari Internet secara gamblang.
Sumber
Google mendeteksi a&ya sertifikat digital palsu yg dikeluarkan oleh MCS Holding, salah satu perusahaan keamanan yg bertempat di Mesir. Pertama kali Google mendeteksi sertifikat digital palsu itu pada tanggal 20 Maret yg lalu. Sertifikat digital palsu itu ditempatkan di beberapa domain Google. Perusahaan besutan Larry Page & Sergey Brin itu menyatakan keberatannya pada MCS Holding karena dengan a&ya sertifikasi digital itu, maka penyerang dapat melakukan intersepsi komunikasi antara pengguna & situs yg diaksesnya. MCS Holding sebagai salah satu perusahaan yg memegang perusahaan itu mendapatkan delegasi dari China Internet Network Information Center (CNNIC).
Uniknya, sertifkat digital tersebut hampir tidak terdeteksi di sejumlah perambah & sistem operasi. Dengan a&ya sertifikat palsu itu, perlindungan keamanan yg biasanya digunakan di layer TSL orpun SSL tidak akan aman lagi. Sertifikat digital berfungsi untuk mengamankan jalur komunikasi secara aman melalui enkripsi jika pengguna ingin mengakses situs yg membutuhkan fitur log-in & password. Adam Langley, insinyur keamanan dari Google mempublikasikan temuannya di blog pribadinya. Berdasarkan temuannya, Langley menyatakan bahwa CNNIC mengeluarkan sertifikat tersebut untuk bisa dideteksi di semua situs & sistem operasi. Hanya Chrome di Windows, OS X, Chrome OS & Mozilla 33 yg bisa menangkal sertifikat palsu ini karena memiliki public key pinnings, kata Langley.
Kami sudah mengontak CNNIC terkait hal ini. Mereka mengatakan bahwa CNNIC terikat kontrak untuk membuat sertifikat digital pada domain yg sudah CNNIC daftarkan, ujar Langley. Alih-alih membuat sertifikat digital yg aman, MCS Holding malah membuat kerentanan man-in-the-middle proxy, lanjutnya. Langley mengatakan bahwa dengan vulnerability tersebut, pihak ketiga bisa melakukan intersepsi pada jalur komunikasi aman antara pengguna dengan situs yg diaksesnya. CNNIC masih mendelegasikan pembuatan sertifikat digitalnya pada MCS. Se&gkan perusahaan itu tidak memiliki kapabilitas, tegas Langley.
Hingga saat ini, MCS Holdings masih belum bisa dikontak terkait sertifikat digital palsu tersebut. Permasalahan sertifikat digital ini menjadi sorotan setelah sebelumnya FREAK Flaw menghantui semua situs & perambah yg ada di dunia dengan menurunnya kekuatan enkrispi pada jalur TSL & SSL. Para praktisi keamanan Google pun mengeluarkan sebuah proyek yg disebut Certificate Transparency. Pada intinya, proyek tersebut bertujuan untuk mendeteksi sertifikat palsu yg umumnya dimanfaatkan hacker untuk mencuri data.
Comments
comments
N3 tidak bisa memberikan klarifikasi berita diatas adalah benar 100% karena kontenGoogle Deteksi Sertifikat Digital Palsu diatas dikutip dari Internet secara gamblang.
Sumber