Black Hat 2009: Breaking SSL with null characters

[Troll]

красотищща..

if you apply for a certificate, the certificate authority looks at the common name on the form and contacts the domain owner. The CA ignores the subdomain. The trick is to drop in a null character in the subdomain. If you register, www.paypal.com[null character].thoughtcrime.org, the CA will contact the owner of thoughtcrime.org and issue the cert. When clients like Firefox use NSS to verify the cert, the null character causes them to think the certficate is valid for www.paypal.com because they stop at the null character. Even if the person examines the cert in their browser, it will show www.paypal.com.

[Yapi]

На практике такое к счастью маловероятно.

[S.R.]

Хм, а мне верисайны звонили я ли это или не я, и доволен ли я сервисом и не один раз причём
Не знаю как у остальных дади, комодо и тд

[Troll]

Цитата:

Сообщение от S.R.

Хм, а мне верисайны звонили я ли это или не я, и доволен ли я сервисом и не один раз причём
Не знаю как у остальных дади, комодо и тд

так вот шутка в том, что это будете вы. а сертификат при этом можете получить для любого другого домена

[S.R.]

Аааа терь понял Я наискосок прочитал с начала
Интересно как на практике

[vc]

Цитата:

Сообщение от Troll

так вот шутка в том, что это будете вы. а сертификат при этом можете получить для любого другого домена

Нет, сертификат таки будет для левого сайта. А то, что Firefox-овский SSL тупит, это проблемы Firefox-а.