The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

08.12.2013 19:38  Выявлены фиктивные SSL-сертификаты для доменов Google, выписанные агентством ANSSI

Компания Google сообщила о выявлении факта генерации фиктивных SSL-сертификатов, выписанных для некоторых доменов Google. Указанные сертификаты были созданы с использованием промежуточного сертификата удостоверяющего центра, принадлежащего Агентству по сетевой и информационной безопасности Франции (ANSSI, "Agence Nationale de la Sécurité des Systèmes d’Information"), отвечающему за безопасность информационных систем.

В настоящее время проблемные сертификаты уже добавлены в черный список браузера Chrome, а также отправлены уведомления производителям других браузеров. Промежуточный сертификат удостоверяющего центра может использоваться для генерации сертификатов, аналогичных сертификатам, выписанным обычным удостоверяющим центром, т.е. с его помощью может быть выпущен валидный SSL-сертификат для любого сайта, позволяющий, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат, организовать не вызывающее подозрений защищённое соединение пользователя. В случае Google, параметры сертификатов для доменов данной компании жестко прошиты в браузер Chrome, что позволяет обнаружить факты использования сертификатов, формально валидных, но выписанных не тем удостоверяющим центром.

Организация ANSSI выявила, что промежуточный сертификат удостоверяющего центра был использован в коммерческом устройстве во внутренней сети агентства. Данное устройство использовалось для инспектирования зашифрованного трафика пользователей данной сети. При этом подобная система была развёрнута с нарушением установленных в ANSSI правил.

После выявления инцидента агентство опубликовало заявление, в котором пояснило, что ненадлежащее использование промежуточных сертификатов является результатом ошибки, допущенной сотрудником при конфигурировании устройства в процессе проведения работы по усилению безопасности внутренней IT-инфраструктуры. В частности, вместо инспектирования защищённого трафика, связанного только с доменами французских правительственных структур, цифровые сертификаты, подписанные сертификатом казначейства Франции ("DG Trésor"), генерировались и для сторонних доменов.

Проблемные сертификаты были отозваны сразу после выявления инцидента и не оказали влияния на безопасность, как публичной сети, так и внутренней сети администрации. Предприняты меры для предотвращения возможности совершения подобных ошибок в будущем.

Напомним, что в прошлом году, сообщество Mozilla попыталось привлечь внимание общественности к проблеме использования вторичных корневых сертификатов в корпоративных системах отслеживания утечек данных, обеспечивающих перехват и расшифровку SSL-трафика. Подобные действия, даже если они применяются в закрытой сети для внутренних корпоративных нужд, подрывают основной принцип сертификации - удостоверяющий центр должен являться единственным первичным звеном, полностью контролировать процесс и нести полную ответственность за все подписанные сертификаты.

Дополнение: Фиктивный сертификат занесён в черный список Firefox.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: Mozilla может заблокировать корневой SSL-сертификат TeliaSonera из-за фактов перехвата трафика по требованию спецслужб
  3. OpenNews: В Китае зафиксированы случаи man-in-the-middle атаки против GitHub
  4. OpenNews: Выявлены обманные SSL-сертификаты, полученные из-за халатности удостоверяющего центра TurkTrust
  5. OpenNews: Представлено TACK, расширение SSL/TLS для борьбы с MITM-атаками и поддельными сертификатами
  6. OpenNews: В Chrome планируют отказаться от онлайн-проверки сертификатов. В Firefox намерены блокировать Trustwave CA
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ca, ssl, cert
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 20:26, 08/12/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    тотальная "некомпетентность" почему-то уже не удивляет...
     
     
  • 2.4, Аноним (-), 21:57, 08/12/2013 [^] [ответить]    [к модератору]
  • +10 +/
    Это не некомпетентность, а утечка информации об обычной практике - профанации самой идеи существования удостоверяющих центров.
     
     
  • 3.22, Аноним (-), 05:31, 09/12/2013 [^] [ответить]    [к модератору]
  • –1 +/
    профанация = некомпетентность
     
     
  • 4.45, Michael Shigorin (ok), 19:23, 11/12/2013 [^] [ответить]    [к модератору]
  • +/
    > профанация = некомпетентность

    Намеренная профанация может требовать достаточно высокой компетентности.

     
  • 2.5, Аноним (-), 21:59, 08/12/2013 [^] [ответить]     [к модератору]
  • +5 +/
    Наверное, потому что все кто в теме и так давно в курсе что SSL PKI - фуфел для ... весь текст скрыт [показать]
     
     
  • 3.10, Xasd (ok), 23:45, 08/12/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    проблема SSL именно в том что корневые ауторити -- ни как не связаны с доменно... весь текст скрыт [показать]
     
     
  • 4.12, Crazy Alex (ok), 00:17, 09/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Нет Проблема в том, что вообще существуют какие-то корневые ауторити Здесь с... весь текст скрыт [показать]
     
     
  • 5.17, Xasd (ok), 00:40, 09/12/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    в данном случае -- фэйл зафиксировали во Франции в любом случае -- если бы комп... весь текст скрыт [показать]
     
     
  • 6.20, Crazy Alex (ok), 02:56, 09/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Наоборот - в случае DANE ключи будут в руках государственных или аффилиированных... весь текст скрыт [показать]
     
     
  • 7.25, Etch (?), 06:26, 09/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Всё же DANE чуть получше выглядит, т к ограничивает компрометацию только владел... весь текст скрыт [показать]
     
     
  • 8.27, asd (??), 09:34, 09/12/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    А смысл, если все они получаются подконтрольны правительству США?
     
  • 5.37, arisu (ok), 19:19, 10/12/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    проблема в том, что необучаемые дебилы типа xasd пытаются рассуждать о безопасности.
     
  • 4.34, Аноним (-), 02:32, 10/12/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Проблема в том что есть вообще какая-то группа м ков, которым предлагается дов... весь текст скрыт [показать]
     
     
  • 5.38, arisu (ok), 19:21, 10/12/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    я его уже неоднократно просил не рассуждать на темы, в которых он ничего не пони... весь текст скрыт [показать]
     
  • 5.47, Xasd (ok), 02:24, 15/12/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    я закончил школу и универ и по криптографии тоже прочитал читал много материала... весь текст скрыт [показать]
     
     
  • 6.48, arisu (ok), 10:00, 15/12/2013 [^] [ответить]     [к модератору]  
  • +/
    если бы ты ещё его понимал 8230 вот уж ты бы 8212 молчал нет, это потому, ... весь текст скрыт [показать]
     
     
  • 7.50, Xasd (ok), 17:06, 15/12/2013 [^] [ответить]     [к модератору]  
  • +/
    иди снег чисти, гуманитарий здесь твоё хваставство знания русского языка -... весь текст скрыт [показать]
     
     
  • 8.51, arisu (ok), 17:14, 15/12/2013 [^] [ответить]     [к модератору]  
  • +/
    я просто не могу удержаться от цитирования твоего перла целиком кстати, глупыш,... весь текст скрыт [показать]
     
  • 6.49, arisu (ok), 10:01, 15/12/2013 [^] [ответить]    [к модератору]  
  • +/
    > хозяен

    молчи ты про «ё», право…

     
  • 1.2, A.Stahl (?), 20:53, 08/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +9 +/
    Да сама эта идея с подписанными х.з. кем сертификатами всегда меня удивляла.
    Я, конечно, могу просто тупить и чего-то не понимать, но я не считаю сертификат подписанный гуглом или ANSSI в чём-то более доверенным, чем сертификат Васи Пупкина.
     
     
  • 2.3, Аноним (-), 21:54, 08/12/2013 [^] [ответить]     [к модератору]  
  • +/
    Ты только не обижайся, вот здесь обзорчик хороший http www securelist com ru b... весь текст скрыт [показать]
     
     
  • 3.8, Аноним (-), 23:31, 08/12/2013 [^] [ответить]     [к модератору]  
  • +4 +/
    Отличается от покупки сертификата у УЦ только платностью и наличием дополнительн... весь текст скрыт [показать]
     
     
  • 4.35, Аноним (-), 02:34, 10/12/2013 [^] [ответить]     [к модератору]  
  • +/
    только если их корневой сертификат прописан у этих постовиков А вот это уже ... весь текст скрыт [показать]
     
     
  • 5.39, arisu (ok), 19:23, 10/12/2013 [^] [ответить]     [к модератору]  
  • +/
    проблема ещё и в том, что большинство 171 обычных пользователей 187 не читае... весь текст скрыт [показать]
     
  • 3.33, unnamedplayer (?), 17:39, 09/12/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    ИМО, и надо в корне поменять критерий доверия - если сертификат несамоподписанны... весь текст скрыт [показать]
     
     
  • 4.40, arisu (ok), 19:26, 10/12/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    а теперь попробуй пояснить это 171 обычным пользователям 187 в лучшем случа... весь текст скрыт [показать]
     
  • 1.6, Аноним (-), 22:21, 08/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Почему ANSSI не добавили в чёрный список?
     
     
  • 2.9, Аноним (-), 23:33, 08/12/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Индустрии не нужна шумиха подрывающая доверие пользователя Если верить ящику,... весь текст скрыт [показать]
     
     
  • 3.29, Аноним (-), 10:13, 09/12/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Потому что реально это США может бомбить кого-угодно?
     
  • 1.7, Аноним (-), 23:31, 08/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что говорит Столлман?
     
     
  • 2.18, chinarulezzz (ok), 02:07, 09/12/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Столлман давно уже сказал. Имеющий уши да слышит.
     
  • 2.28, Аноним (-), 09:46, 09/12/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    > Что говорит Столлман?

    В данном конкретном случае важно не то, что говорит Столлман. А важно то, что говорит Шнайер.

     
  • 1.11, eoranged (ok), 23:56, 08/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Тут всё просто:

    1. продажа сертификатов приносит кучу денег из воздуха.
    2. возможность выпускать липовые сертификаты позволяет прослушивать зашифрованный траффик целевых пользователей определенным структурам вне зависимости от степени надёжности применяемого шифрования (вот тут, кстати, можно включать паранойю).

    Так что не удивляйтесь, что сохранение и развитие текущей инфраструктуры будут лоббировать ещё долго.

     
     
  • 2.13, Crazy Alex (ok), 00:20, 09/12/2013 [^] [ответить]    [к модератору]  
  • +/
    Проблема ещё и в том, что ничего из альтернатив приличного не придумано - во всяком случае, чтобы схема была настолько же стройной - купил сертификат, поставил - и все пользователи получили шифрованное соединение, надежности которого хватает в большинстве "коммерческих" случаев. Разве что в системе p2p-доменных имен наподобие Namecoin что-то можно сделать...
     
     
  • 3.16, eoranged (ok), 00:39, 09/12/2013 [^] [ответить]    [к модератору]  
  • +/
    > Проблема ещё и в том, что ничего из альтернатив приличного не придумано
    > - во всяком случае, чтобы схема была настолько же стройной -
    > купил сертификат, поставил - и все пользователи получили шифрованное соединение, надежности
    > которого хватает в большинстве "коммерческих" случаев. Разве что в системе p2p-доменных
    > имен наподобие Namecoin что-то можно сделать...

    http://i2p2.de/

     
     
  • 4.21, Crazy Alex (ok), 03:04, 09/12/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    WOT для коммерческого применения? Вы серьезно?
     
  • 3.41, arisu (ok), 19:28, 10/12/2013 [^] [ответить]    [к модератору]  
  • +/
    а тут одно из двух: или безопасность и связаные с этим неизбежные неудобства, или «всё из коробки и работает бездумно», но про безопасность не надо даже заикаться.
     
     
  • 4.43, Crazy Alex (ok), 15:09, 11/12/2013 [^] [ответить]    [к модератору]  
  • +/
    Вопрос только - насколько именно небезопасной будет бездумная работа. Продолжая твоё сравнение - учить не совать пальцы в розетку надо, но если конструкция розетки - не две дырки, а два штыря - это как-то менее безопасно. Просто потому что случайно зацепить можно. И для большинства рядовых случаев текущая модель таки пашет - просто так твоё соединиение с банком или интернет-магазином кто попало не перехватит, это требует неслабых усилий. Зато система начинает круто ломаться тогда, когда безопасность больше всего нужна, это да. Но тут скорее надо просто вбивать в головы, от каких угроз оно защищиает, а от каких - нет.
     
     
  • 5.44, arisu (ok), 16:14, 11/12/2013 [^] [ответить]    [к модератору]  
  • +/
    вот только не надо по соседству с этой системой упоминать безопасность. разве только в контексте «не обеспечивает». ложное чувство защищённости — это намного хуже, чем отсутствие защищённости вообще.
     
  • 1.14, Аноним (-), 00:34, 09/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вобщем, надо сразу выкашивать все сертификаты УЦ сразу после установки ОС.
     
     
  • 2.32, Kodir (ok), 14:34, 09/12/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Удалить-то удалим. Как получить свежие? :)
     
  • 1.15, Аноним (-), 00:35, 09/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    У ANSSI походу с компетентностью проблемы, а это агентство по безопасности)
     
  • 1.19, chinarulezzz (ok), 02:08, 09/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Организация ANSSI выявила, что промежуточный сертификат удостоверяющего цента был
    >использован в коммерческом устройстве во внутренней сети агентства. Данное устройство
    >использовалось для инспектирования зашифрованного трафика пользователей данной сети

    классная формулировка.

     
     
  • 2.23, DeadLoco (ok), 05:57, 09/12/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    MiTM обычный. Коммерческое оборудование, инспектирующее чужой траффик, ага. Еще небось на местных же сертификатах, с копией приватного ключа...
     
     
  • 3.24, Аноним (-), 06:22, 09/12/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Так и есть. Утечка информации об обычной практике УЦ.
     
  • 2.42, arisu (ok), 19:30, 10/12/2013 [^] [ответить]    [к модератору]  
  • +/
    > классная формулировка.

    обычная практика внутриконторского слежения за трафиком. trustwave, например, такими сертфикатами барыжила вполне себе легально, прямо с сайта предлагала. мой личный проксь поступает точно так же: генерирует на лету сертификаты, подписаные моим root authority — а как иначе ему в ssl заглянуть?

    разница только в том, что если утекут мои сертификаты — то это не страшно. а вот если бы я был root authority, включеной в браузеры…

     
  • 1.30, Аноним (-), 10:20, 09/12/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +3 +/
    Ошибка , ага А другие агенства так же случайно прослушивают переговоры и про... весь текст скрыт [показать]
     
  • 1.31, Аноним (-), 11:31, 09/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А ключ УЦ ANSSI поставляется с какми-нибудь браузерами? Я что-то не вижу...
     
  • 1.36, arisu (ok), 19:17, 10/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    естественно, это никак не означает, что ssl — ненадёжная херня. ну подумаешь, выписали поддельный сертификат. ну подумаешь, утекло. ну подумаешь, никаких плохих последствий для обгадившихся. главное — вы верьте, верьте, что ssl вас защищает!
     
  • 1.46, XoRe (ok), 19:15, 13/12/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Указанные сертификаты были созданы с использованием промежуточного сертификата
    > удостоверяющего центра, принадлежащего Агентству по сетевой и информационной безопасности
    > Франции (ANSSI, "Agence Nationale de la Sécurité des Systèmes d’Information"),
    > отвечающему за безопасность информационных систем.

    В черный список его на уровне google/mozilla/opera/apple и делов-то.
    И так, пока в списках браузеров не останутся те, кто действительно заботятся о промежуточных/корневых сертификатах.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor