More Tricks for Defeating SSL

• Amélioration de l'attaque

• Exploit à distance dans une des implémentations...
• (AAAAAAAAAAAAAAAAAAAAAA\0OVERWRITE).foo.com
• Révocation avec OCSP
• L'URL OCSP est dans le certificat
• Interception des requêtes, réponses forgées avec le code « 3 » pour « Try again later »...
• Implémentations dociles
• Mises à jour automatiques de Firefox et Thunderbird
• Activées par défaut :(
• Mais pas signées :)
• …
• Profit !