» »

Mozilla korenskim overiteljem naložila obsežen varnostni pregled

Mozilla korenskim overiteljem naložila obsežen varnostni pregled

vir: The H
The H - Po seriji alarmantnih vdorov v korenske overitelje (root CA) Comodo, DigiNotar in potencialno še v GlobalSign, imajo ponudniki brskalnikov počasi dovolj "popravljanja za nazaj" z brisanjem spornih certifikatov iz svoje baze zaupanja vrednih overiteljev. Med samim vdorom in izbrisom lahko namreč mine kar nekaj časa in ves ta čas so uporabniki potencialno izpostavljeni vdoru ali nadzoru v njihove priljubljene servise. To pa uničuje zaupanje, ki je nujno za delovanje internetne ekonomije in ki so ga dolga leta le počasi vzpostavljali.

Mozilla je zdaj poslala nujni poziv vsem overiteljem, ki so vključeni v njihovo bazo (okoli 50). Poziv jih prosi, da takoj izvedejo obsežno varnostno preverjanje postopka izdajanja certifikatov in rezultate v tednu dni sporočijo Mozilli:
  1. Preveriti morajo svoj toolkit za izdajo certifikatov (PKI), vključno s toolkiti svojih zastopnikov (tu je pogorel Comodo).
  2. Mozilli morajo tudi poslati seznam vseh teh zastopnikov, skupaj z opisi njihovih varnostnih protokolov.
  3. Posebej morajo preveriti, da je za vse uporabniške račune, ki imajo pravico podpisovati certifikate, potrebna prijava z več stopnjami (multi-factor authentication), se pravi, ne zgolj z Windows Domain geslom, kot je bil primer pri DigiNotarju.
  4. Imeti morajo, oz. pod nujno vzpostaviti sistem, ki zazna zahtevke za podpis "visokovredne domene" (npr. mail.google.com, microsoft.com, amazon.com) in v teh primerih opraviti dodatna, ročna preverjanja.


Kathleen Wilson, odgovorna za vodenje certifikatov v Mozillinih izdelkih Firefox in Thunderbird, je ob tem povedala, da bodo v primeru nespoštovanja teh zahtev naredili vse potrebno za zavarovanje svojih uporabnikov. To bi lahko pomenilo tudi preklic ali brisanje katerega od CA-jev iz baze, morda že v naslednjem popravku Firefoxa ali sveži izdaji 7.0, ki je pred vrati. Če ni nič drugega, pa bodo s tem dobili obsežen in podroben popis zastopniške mreže izdajateljev certifikatov, ki je kar malo preveč zrasla zaradi želje po ustvarjanju dobička in brez nujnih ukrepov za zagotovitev potrebne varnosti.

9 komentarjev

Golden eye ::

edino pravilno, da se spet malo reda nardi.

Zgodovina sprememb…

Gregor P ::

Čisto tako se mi postavlja vprašanje, mar ostali (Microsoft, Opera, Apple itd.) pa tega ne počno (redno)?8-O
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Looooooka ::

Nekdo si spet dela reklamo, ker mu pada % uporabnikov :)

arjan_t ::

Looooooka je izjavil:

Nekdo si spet dela reklamo, ker mu pada % uporabnikov :)


ja, to delajo točno zaradi tega

win64 ::

MS se je tudi odzval:
Microsoft is continuing to investigate this issue. Based on preliminary investigation, Microsoft is providing a new update (KB2616676) on September 13, 2011 for all supported releases of Microsoft Windows that revokes the trust of the following DigiNotar root certificates by placing them into the Microsoft Untrusted Certificate Store:

DigiNotar Root CA
DigiNotar Root CA G2
DigiNotar PKIoverheid CA Overheid
DigiNotar PKIoverheid CA Organisatie - G2
DigiNotar PKIoverheid CA Overheid en Bedrijven
DigiNotar Root CA Issued by Entrust (2 certificates)
DigiNotar Services 1024 CA Issued by Entrust
DigiNotar Cyber CA Issued by GTE CyberTrust (3 certificates)


https://technet.microsoft.com/en-us/sec...

MrStein ::

Uf, a ne more spremeniti konfiguracijo certifikatov brez reboot-a? ;((
A ni DigiNotar-jeve certifikate blokiral že v prejšnjem update? Ali je to še dodatno?

Glede linka v prejšnjem sporočilu: A še komu vrača:
Bad Request - Invalid Verb
HTTP Error 400. The request verb is invalid.
?

To se mi dogaja zadnji teden na večini MS strani. Mislim da je povezano s prijavni (Sign In) na Live oziroma MSN account.

MrStein je izjavil:


A ni DigiNotar-jeve certifikate blokiral že v prejšnjem update? Ali je to še dodatno?

Aha, že prej je bilo, zdaj pa še nekaj dodatnih CA blokira:

Why was this advisory revised September 13, 2011?
Microsoft revised this advisory to announce the release of the KB2616676 update that addresses this issue. The update adds six additional DigiNotar root certificates that are cross signed by Entrust or GTE to the Microsoft Untrusted Certificate Store. The KB2616676 update replaces the KB2607712 update and also contains the previous five DigiNotar root certificates added to the Microsoft Untrusted Certificate Store by the KB2607712 update.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

win64 ::

V firefoxu(6.0.3) mi ne dela problemov. Provi z http(brez s)

MrStein ::

Saj meni tudi dela, če nisem prijavljen.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

win64 ::

Sem se proval prijaviti, sicer zgoraj ne piše, da sem prijavljen, ampak stran dela in če še enkrat kliknem na sign in, mi ponovno naloži stran...
Najbrž kakšen hrošč.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20180653 (54848) MrStein
»

Kazahstan želi uzakoniti prisluškovanje z obvezno namestitvijo certifikata

Oddelek: Novice / Zasebnost
167668 (6066) ender
»

Trustwave izdajal man-in-the-middle SSL certifikate, bojda je to "stalna praksa"

Oddelek: Novice / Varnost
269642 (7227) kunigunda
»

Hekerji večkrat napadli VeriSign, podjetje molčalo

Oddelek: Novice / Varnost
299643 (7391) BlueRunner
»

Znane podrobnosti v vdoru v DigiNotar

Oddelek: Novice / Varnost
95496 (4923) krho

Več podobnih tem