» »

Egiptovski CA izdal lažne certifikate za Google

Egiptovski CA izdal lažne certifikate za Google

Google Online Security Blog - Google je odkril lažne certifikate za svoje strežnike, ki jih je izdalo egiptovsko podjetje MCS Holdings. Ker je MCS Holdings vmesni certifikatni urad (intermediate CA), ki ga je kot zaupanja vrednega proglasil kitajski CNNIC, mu zaupajo vsi brskalniki. Firefox in Chrome sicer omenjenih certifikatov za dostop do Googlovih strani nista uporabljala, ker upoštevata public key pinning. Vseeno je početje podjetja MCS Holdingsa hud prekršek, zaradi česar so njihove certifikate proizvajalci brskalnikov takoj po odkritju uvrstili na listo neveljavnih.

CNNIC je potrdil, da so z MCS Holdings sklenili pogodbo, ki jim je dovoljevala le izdajo certifikatov za domene, ki jih imajo registrirane. Kot kaže, je MCS Holdings svoj zasebni ključ namestil na MITM-proxy, ki se je predstavljal kot končna destinacija uporabnikovega prometa. Nekaj podobnega se uporablja v podjetjih, kjer želijo administratorji nadzorovati promet zaposlenih, a je treba v tem primeru v brskalniku ročno nastaviti, da bo zaupal certifikatu proxyja. MCS Holdings pa je imel overitev s strani CNNIC in so mu vsi zaupali, zato je takšno početje huda kršitev pravil, pa četudi je bil proxy v lasti MCS Holdings in so se nanj povezovale le njegove stranke. Nekaj podobnega se je zgodilo v incidentu ANSSI leta 2013. Še leto pred tem je tudi ameriški Trustwave storil nekaj zelo podobnega. Tudi tedaj je Trustwave, tako kot sedaj MCS Holding, dobil začasni certifikat z možnostjo izdaje certifikatov za poljubne domene.

Najnovejši incident razkriva dve pomembni šibki točki sistema zagotavljanja pristnosti s certifikati. Zaradi velikega števila overiteljev se lahko v sistem prikrade razpoka, saj je dovolj že en nepošten ali nesposoben overitelj. Dodatna težava pa je, da morajo proizvajalci brskalnikov in operacijskih sistemov izdati posodobitev, da njihovi izdelki lažne certifikate uvrstijo na listo razveljavljenih. Predlogov za izboljšave je več, od transparentnosti certifikatov do OCSP.

4 komentarji

MrStein ::

od transparentnosti certifikatov do OCSP.

Broken link.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

avister ::

kjer želijo administratorji nadzorovati promet zaposlenih


Administratorji ne želijo nadzorovati prometa. Prepričan sem celo, da bi večina adminov svojim uporabnikom rada zagotovila zasebno komuniciranje s svetom.

Do nadzora s pomočjo MITM-ja nad uporabniki v podjetju pride bolj zaradi varnostne politike, ki jo ponavadi podpiše direktor.

pivmik ::

Takim zlorabam CA-jev se bi lahko izognili z obvezno zahtevo da vsak certifikat mora biti podpisan s strani vsaj 3 različnih CAjev.
LP, Gregor GRE^

Zgodovina sprememb…

  • spremenil: pivmik ()

stb ::

pivmik je izjavil:

Takim zlorabam CA-jev se bi lahko izognili z obvezno zahtevo da vsak certifikat mora biti podpisan s strani vsaj 3 različnih CAjev.

Dokler se bodo v množici CAjev, ki jim brskalniki (in OSi) privzeto zaupajo znašli vsaj trije, ki proti plačilu ali zastonj, zaradi napake, luknje ali površnosti podpišejo karkoli to ne bo rešitev, zgolj ovirica.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Vdor v indijski NIC na splet poslal lažne certifikate

Oddelek: Novice / Varnost
64578 (2857) s6c-gEL
»

Pridobitev MS Certifikatov ali IT faks

Oddelek: Šola
4213768 (12377) bedak
»

Trustwave izdajal man-in-the-middle SSL certifikate, bojda je to "stalna praksa"

Oddelek: Novice / Varnost
2610214 (7799) kunigunda
»

potrdila o znanju racunalnistva (strani: 1 2 )

Oddelek: Loža
597142 (5309) Mr.B
»

Kateri SSL certifikat

Oddelek: Izdelava spletišč
234143 (3903) Poldi112

Več podobnih tem