С новым Годом, господа и дамы системные администраторы. В Берлине сегодня была представлена рабочая схема фальсификации SSL-сертификата, основанная на коллизиях алгоритма MD5. Атака распространяется на сертификаты, выданные CA, использующими MD5 для цифровой подписи: RapidSSl, FreeSSL, TrustCenter AG, RSA Data Security, Thawte, Verisign Japan:
As a result of this successfull attack, we are currently in possession of a rogue Certification Authority certificate. This certificate will be accepted as valid and trusted by all common browsers, because it appears to be signed by one of the root CAs that browsers trust by default. In turn, any website certificate signed by our rogue CA will be trusted as well.