The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

24.03.2015 18:36  Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов

Компания Google сообщила о выявлении в сети обманного TLS-сертификата, используемого в прокси-сервере для установки не вызывающих подозрений защищённых соединений с любыми серверами в сети. В том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google.

В ходе разбирательства выяснилось, что китайский удостоверяющий центр CNNIC (China Internet Network Information Center) передал холдингу MCS промежуточный (вторичный) корневой сертификат, на условии его использования только для доменов, зарегистрированных данной компанией. В нарушение всех правил обращения с корневыми сертификатами, закрытый ключ не был изначально помещён в HSM (Hardware Security Module), а установлен в MITM-прокси, осуществляющем перехват защищённых соединений с целью контроля за работой сотрудников корпорации.

По сути прокси сервер был наделён полномочиями полноценного удостоверяющего центра, на лету генерирующего необходимые для любых доменов корректные сертификаты. Подобные сертификаты не вызывали подозрений во всех операционных системах и браузерах, так как сертификат CNNIC был занесён в список заслуживающих доверие корневых сертификатов. Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней, так как CNNIC делегировал свои полномочия сторонней организации, не имеющей право на обращение с подобными сертификатами. Сам вторичный корневой сертификат был помечен как тестовый и выписан на две недели.

Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации может привести к коллапсу всей системы. Средства защиты от подобных манипуляций, например методы перекрёстной сертификации или специальные расширения к протоколу TLS, только разрабатываются.

Chrome и Firefox позволяет отловить некорректные манипуляции с сертификатами благодаря наличию механизма Public Key Pinning, позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта (в частности, Google жестко привязывает в Chrome свои домены к определённому удостоверяющему центру). Если для установки защищённого соединения применён достоверный сертификат выписанный иным удостоверяющим центром, соединение будет отвергнуто из-за подозрения в атаке "man-in-the-middle". Для оперативного отзыва сертификатов промежуточных удостоверяющих центров в Google Chrome используется механизм CRLset. В следующем выпуске Firefox ожидается появление механизма OneCRL, предоставляющего похожие на CRLset средства для централизованного отзыва сертификатов.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: EFF, Mozilla, Cisco и Akamai создадут контролируемый сообществом удостоверяющий центр
  3. OpenNews: Выявлены обманные SSL-сертификаты, полученные из-за халатности удостоверяющего центра TurkTrust
  4. OpenNews: Mozilla объявляет ультиматум удостоверяющим центрам
  5. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  6. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ssl, cert, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 19:02, 24/03/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    расстраивает то что фаерфокс не позволяет отключить сертификаты вот таких вот ненадежных CA
     
     
  • 2.3, Аноним (3), 19:16, 24/03/2015 [^] [ответить]    [к модератору]
  • +/
    с введение мозилой своих центров сертификации, такое станет доступным
     
     
  • 3.6, Аноним (-), 19:44, 24/03/2015 [^] [ответить]    [к модератору]
  • +3 +/
    > с введение мозилой своих центров сертификации, такое станет доступным

    Чем это отличается от того, что есть сейчас?

     
     
  • 4.13, Ан0ним (?), 20:21, 24/03/2015 [^] [ответить]    [к модератору]
  • +/
    Чем больше центров сертификации тем надежнее! Правильно?


     
     
  • 5.15, Fomalhaut (?), 21:48, 24/03/2015 [^] [ответить]    [к модератору]
  • +1 +/
    У семи нянек... (С)
     
     
  • 6.24, Anonim (??), 22:27, 24/03/2015 [^] [ответить]    [к модератору]  
  • +28 +/
    Четырнадцать титек.
     
     
  • 7.28, Аноним (-), 23:53, 24/03/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    Это в теории. У няньки может быть член или отсутствующая титька.
     
     
  • 8.47, XoRe (ok), 15:09, 25/03/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > Это в теории. У няньки может быть член

    Но титьки то тоже будут :)

     
  • 5.17, Аноним (-), 22:00, 24/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Еще как: теперь и мозилла сможет подписывать сертификаты на что угодно!
     
  • 5.18, Аноним (-), 22:03, 24/03/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Нет. Наоборот.
     
  • 2.4, rm_ (ok), 19:19, 24/03/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Позволяет, в опциях поройтесь. Но это не выход.
     
  • 2.9, Аноним (-), 19:48, 24/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Позволяет, плохо смотрели. Но туда редко кто заглядывает.
    Другой вопрос как узнать ненадежные CA?
     
     
  • 3.12, Ан0ним (?), 20:18, 24/03/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Все, которые расположены не на /dev/sda
     
  • 3.21, Аноним (-), 22:06, 24/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Никак Без OCSP это вообще нереально, кроме как вручную - а не заипёшься ли ты и... весь текст скрыт [показать]
     
     
  • 4.26, sur pri (?), 23:33, 24/03/2015 [^] [ответить]    [к модератору]  
  • +/
    >> Другой вопрос как узнать ненадежные CA?
    > Никак.

    :-) Вот узнали же.

    Хотя в заявлениях Google что-то не находится например неправильный сертификат, о котором идёт речь...

     
  • 4.27, Аноним (-), 23:41, 24/03/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Чего бы это вдруг Запомнить при первом конекте fingerprint и если поменялся - с... весь текст скрыт [показать]
     
  • 1.8, Аноним (-), 19:45, 24/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Они изобрели SSL Bump! :)))))))))))))))
     
  • 1.10, Аноним (-), 19:58, 24/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Отключил для пробы доверие к сертификату CNNIC в Фоксе. aliexpress не пострадал, вопреки опасениям
     
     
  • 2.16, Anonplus (?), 21:58, 24/03/2015 [^] [ответить]    [к модератору]  
  • +/
    CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проектов, поддерживая повсеместное внедрение https.
     
     
  • 3.20, Аноним (-), 22:05, 24/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Серверные А тут речь о том, что эти ушлёпки отдали корневой, с правом подписи ... весь текст скрыт [показать]
     
  • 3.52, sur pri (?), 02:42, 26/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Поддерживая повсеместное внедрение Внедрение Своих сертификатов - ... весь текст скрыт [показать]
     
  • 1.11, Аноним (-), 19:58, 24/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    dpkg-reconfigure ca-certificates
     
  • 1.14, Ilya Indigo (ok), 21:09, 24/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней.

    В который уже раз, она всё живее всех живых.

     
     
  • 2.25, Michael Shigorin (ok), 23:29, 24/03/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Как и МВФ с ФРС, забавное совпадение -- и тут опять китайцы ... весь текст скрыт [показать]
     
  • 1.29, Аноним (-), 23:56, 24/03/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    И главное, никто даже и не пытается особо обеспечивать поддержку RFC6091 в прило... весь текст скрыт [показать]
     
     
  • 2.36, Аноним (-), 07:52, 25/03/2015 [^] [ответить]     [к модератору]  
  • +/
    Существующая система сертификации прекрасно выполняет свои цели как известно, и... весь текст скрыт [показать]
     
     
  • 3.42, Demo (??), 12:58, 25/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > Существующая система сертификации

       Не вызывает доверия.

     
  • 1.30, Аноним (-), 23:57, 24/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    отключил в фоксе и конкьюре. спасибо за инфо!
     
  • 1.31, Dzmitry (??), 01:44, 25/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А opennet.ru вообще не поддерживает HTTPS :D
     
     
  • 2.32, Ilya Indigo (ok), 01:46, 25/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > А opennet.ru вообще не поддерживает HTTPS :D

    https://ssl.opennet.ru

     
     
  • 3.33, Аноним (-), 02:34, 25/03/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Алгоритм подписи PKCS 1 MD5 с шифрованием RSA E mc tyumen ru CN opennet ... весь текст скрыт [показать]
     
     
  • 4.44, Ilya Indigo (ok), 13:02, 25/03/2015 [^] [ответить]    [к модератору]  
  • +/
    С этим я не спорю, он тут просто для галочки, но он на этом сайте и не нужен, особенно анонимам.
     
  • 3.34, Аноним (-), 04:51, 25/03/2015 [^] [ответить]    [к модератору]  
  • +/
    а мини-opennet, версия которая открывается по http://opennet.ru есть?
     
  • 3.40, ryoken (?), 09:33, 25/03/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    > https://ssl.opennet.ru

    Не знал, спасибо :).

     
     
  • 4.56, Адекват (ok), 07:10, 26/03/2015 [^] [ответить]    [к модератору]  
  • +/
    >> https://ssl.opennet.ru
    > Не знал, спасибо :).

    Да нафиг нужно на самоподписанных то..

     
     
  • 5.57, Andrew Kolchoogin (ok), 12:29, 26/03/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > Да нафиг нужно на самоподписанных то..

    Судя по тексту новости, несамоподписанные не сильно отличаются от самоподписанных. :)))

     
  • 1.35, Аноним (-), 05:56, 25/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Что, собственно, очередной раз демонстрирует эпичный системный фейл всей текущей системы сертификации.
     
  • 1.37, Slot (?), 07:57, 25/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Замочил CA в firefoxе
     
  • 1.39, AlexAT (ok), 09:12, 25/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Именно поэтому давно пора переводить сайтовую PKI на публикацию компаниями собственных ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с желающих купить сертификат.
     
     
  • 2.43, Demo (??), 13:01, 25/03/2015 [^] [ответить]    [к модератору]  
  • +/

    > ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с

    Ну, будут публиковать нужные поддельные сертификаты с неподконтрольных авторитетных или корневых серверов, толку то?..


     
     
  • 3.49, AlexAT (ok), 20:13, 25/03/2015 [^] [ответить]    [к модератору]  
  • +/
    >> ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с
    > Ну, будут публиковать нужные поддельные сертификаты с неподконтрольных авторитетных или корневых серверов, толку то?..

    Толк в том, что для подделки сертификата придётся подделать конечную запись о нём. DNS-серверов много, клиенты валидность могут вполне проверять с корня DNS - т.е. геморроя потребуется много.

     
  • 1.41, а (?), 10:41, 25/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    В каком месте CNNIC расшифровывается как China Internet Network Information Center?
    Может тогда уж CINIC?
     
     
  • 2.58, pavelpat (ok), 20:14, 02/12/2015 [^] [ответить]    [к модератору]  
  • +/
    Может быть Network Information Center зоны CN?
     
  • 1.45, Аноним (-), 13:02, 25/03/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    В списке рассылки Firefox после новости http www opennet ru opennews art shtml... весь текст скрыт [показать]
     
     
  • 2.46, Ilya Indigo (ok), 13:08, 25/03/2015 [^] [ответить]    [к модератору]  
  • +/
    > 2. Это может быть не безопасно.
    > Тут я вообще не понял, о чем речь.

    Ну это же не безопасно для
    > ...центров, продающий свои сертификаты налево...

     
  • 2.53, sur pri (?), 03:29, 26/03/2015 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален You are an stupid idiot Really, a certificate falsifica... весь текст скрыт [показать]
     
     
  • 3.54, sur pri (?), 04:06, 26/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Примечание. Сайты не заинтересованные в такого рода вещах могут и должны использовать http. Без s.
     
     
  • 4.55, sur pri (?), 04:19, 26/03/2015 [^] [ответить]    [к модератору]  
  • +/
    Примечание к примечанию. Даже последний случай не даёт права фальсифицировать данные.
     
  • 1.48, adolfus (ok), 15:55, 25/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Пора переходить на одноразовые блокноты.
     
     
  • 2.50, Какаянахренразница (ok), 20:24, 25/03/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    > Пора переходить на одноразовые блокноты.

    "А на словах просил передать следующее" (C)

     
  • 1.51, arisu (ok), 23:34, 25/03/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    «мужик, я не понимаю: ты охотник или #$%:с?» (ц)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor