The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

24.03.2015 18:36  Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов

Компания Google сообщила о выявлении в сети обманного TLS-сертификата, используемого в прокси-сервере для установки не вызывающих подозрений защищённых соединений с любыми серверами в сети. В том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google.

В ходе разбирательства выяснилось, что китайский удостоверяющий центр CNNIC (China Internet Network Information Center) передал холдингу MCS промежуточный (вторичный) корневой сертификат, на условии его использования только для доменов, зарегистрированных данной компанией. В нарушение всех правил обращения с корневыми сертификатами, закрытый ключ не был изначально помещён в HSM (Hardware Security Module), а установлен в MITM-прокси, осуществляющем перехват защищённых соединений с целью контроля за работой сотрудников корпорации.

По сути прокси сервер был наделён полномочиями полноценного удостоверяющего центра, на лету генерирующего необходимые для любых доменов корректные сертификаты. Подобные сертификаты не вызывали подозрений во всех операционных системах и браузерах, так как сертификат CNNIC был занесён в список заслуживающих доверие корневых сертификатов. Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней, так как CNNIC делегировал свои полномочия сторонней организации, не имеющей право на обращение с подобными сертификатами. Сам вторичный корневой сертификат был помечен как тестовый и выписан на две недели.

Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации может привести к коллапсу всей системы. Средства защиты от подобных манипуляций, например методы перекрёстной сертификации или специальные расширения к протоколу TLS, только разрабатываются.

Chrome и Firefox позволяет отловить некорректные манипуляции с сертификатами благодаря наличию механизма Public Key Pinning, позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта (в частности, Google жестко привязывает в Chrome свои домены к определённому удостоверяющему центру). Если для установки защищённого соединения применён достоверный сертификат выписанный иным удостоверяющим центром, соединение будет отвергнуто из-за подозрения в атаке "man-in-the-middle". Для оперативного отзыва сертификатов промежуточных удостоверяющих центров в Google Chrome используется механизм CRLset. В следующем выпуске Firefox ожидается появление механизма OneCRL, предоставляющего похожие на CRLset средства для централизованного отзыва сертификатов.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: EFF, Mozilla, Cisco и Akamai создадут контролируемый сообществом удостоверяющий центр
  3. OpenNews: Выявлены обманные SSL-сертификаты, полученные из-за халатности удостоверяющего центра TurkTrust
  4. OpenNews: Mozilla объявляет ультиматум удостоверяющим центрам
  5. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  6. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ssl, cert, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 19:02, 24/03/2015 [ответить] [смотреть все]     [к модератору]
  • +1 +/
    расстраивает то что фаерфокс не позволяет отключить сертификаты вот таких вот не... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 19:16, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    с введение мозилой своих центров сертификации, такое станет доступным
     
     
  • 3.6, Аноним, 19:44, 24/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Чем это отличается от того, что есть сейчас ... весь текст скрыт [показать]
     
     
  • 4.13, Ан0ним, 20:21, 24/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Чем больше центров сертификации тем надежнее! Правильно?


     
     
  • 5.15, Fomalhaut, 21:48, 24/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    У семи нянек... (С)
     
     
  • 6.24, Anonim, 22:27, 24/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +28 +/
    Четырнадцать титек.
     
     
  • 7.28, Аноним, 23:53, 24/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Это в теории. У няньки может быть член или отсутствующая титька.
     
     
  • 8.47, XoRe, 15:09, 25/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > Это в теории. У няньки может быть член

    Но титьки то тоже будут :)

     
  • 5.17, Аноним, 22:00, 24/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Еще как: теперь и мозилла сможет подписывать сертификаты на что угодно!
     
  • 5.18, Аноним, 22:03, 24/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Нет. Наоборот.
     
  • 2.4, rm_, 19:19, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Позволяет, в опциях поройтесь. Но это не выход.
     
  • 2.9, Аноним, 19:48, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Позволяет, плохо смотрели Но туда редко кто заглядывает Другой вопрос как узна... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Ан0ним, 20:18, 24/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Все, которые расположены не на /dev/sda
     
  • 3.21, Аноним, 22:06, 24/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Никак Без OCSP это вообще нереально, кроме как вручную - а не заипёшься ли ты и... весь текст скрыт [показать]
     
     
  • 4.26, sur pri, 23:33, 24/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    - Вот узнали же Хотя в заявлениях Google что-то не находится например неправи... весь текст скрыт [показать]
     
  • 4.27, Аноним, 23:41, 24/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Чего бы это вдруг Запомнить при первом конекте fingerprint и если поменялся - с... весь текст скрыт [показать]
     
  • 1.8, Аноним, 19:45, 24/03/2015 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Они изобрели SSL Bump! :)))))))))))))))
     
  • 1.10, Аноним, 19:58, 24/03/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    Отключил для пробы доверие к сертификату CNNIC в Фоксе aliexpress не пострадал,... весь текст скрыт [показать]
     
     
  • 2.16, Anonplus, 21:58, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проект... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Аноним, 22:05, 24/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Серверные А тут речь о том, что эти ушлёпки отдали корневой, с правом подписи ... весь текст скрыт [показать]
     
  • 3.52, sur pri, 02:42, 26/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Поддерживая повсеместное внедрение Внедрение Своих сертификатов - ... весь текст скрыт [показать]
     
  • 1.11, Аноним, 19:58, 24/03/2015 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    dpkg-reconfigure ca-certificates
     
  • 1.14, Ilya Indigo, 21:09, 24/03/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    >Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней.

    В который уже раз, она всё живее всех живых.

     
     
  • 2.25, Michael Shigorin, 23:29, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Как и МВФ с ФРС, забавное совпадение -- и тут опять китайцы ... весь текст скрыт [показать] [показать ветку]
     
  • 1.29, Аноним, 23:56, 24/03/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    И главное, никто даже и не пытается особо обеспечивать поддержку RFC6091 в прило... весь текст скрыт [показать]
     
     
  • 2.36, Аноним, 07:52, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Существующая система сертификации прекрасно выполняет свои цели как известно, и... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Demo, 12:58, 25/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Существующая система сертификации

       Не вызывает доверия.

     
  • 1.30, Аноним, 23:57, 24/03/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    отключил в фоксе и конкьюре. спасибо за инфо!
     
  • 1.31, Dzmitry, 01:44, 25/03/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    А opennet.ru вообще не поддерживает HTTPS :D
     
     
  • 2.32, Ilya Indigo, 01:46, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > А opennet.ru вообще не поддерживает HTTPS :D

    https://ssl.opennet.ru

     
     
  • 3.33, Аноним, 02:34, 25/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Алгоритм подписи PKCS 1 MD5 с шифрованием RSA E mc tyumen ru CN opennet ... весь текст скрыт [показать]
     
     
  • 4.44, Ilya Indigo, 13:02, 25/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    С этим я не спорю, он тут просто для галочки, но он на этом сайте и не нужен, ос... весь текст скрыт [показать]
     
  • 3.34, Аноним, 04:51, 25/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а мини-opennet, версия которая открывается по http://opennet.ru есть?
     
  • 3.40, ryoken, 09:33, 25/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    > https://ssl.opennet.ru

    Не знал, спасибо :).

     
     
  • 4.56, Адекват, 07:10, 26/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да нафиг нужно на самоподписанных то ... весь текст скрыт [показать]
     
     
  • 5.57, Andrew Kolchoogin, 12:29, 26/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Судя по тексту новости, несамоподписанные не сильно отличаются от самоподписанны... весь текст скрыт [показать]
     
  • 1.35, Аноним, 05:56, 25/03/2015 [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Что, собственно, очередной раз демонстрирует эпичный системный фейл всей текущей... весь текст скрыт [показать]
     
  • 1.37, Slot, 07:57, 25/03/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Замочил CA в firefoxе
     
  • 1.39, AlexAT, 09:12, 25/03/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Именно поэтому давно пора переводить сайтовую PKI на публикацию компаниями собственных ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с желающих купить сертификат.
     
     
  • 2.43, Demo, 13:01, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну, будут публиковать нужные поддельные сертификаты с неподконтрольных авторитет... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, AlexAT, 20:13, 25/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Толк в том, что для подделки сертификата придётся подделать конечную запись о нё... весь текст скрыт [показать]
     
  • 1.41, а, 10:41, 25/03/2015 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    В каком месте CNNIC расшифровывается как China Internet Network Information Center?
    Может тогда уж CINIC?
     
     
  • 2.58, pavelpat, 20:14, 02/12/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Может быть Network Information Center зоны CN?
     
  • 1.45, Аноним, 13:02, 25/03/2015 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    В списке рассылки Firefox после новости http www opennet ru opennews art shtml... весь текст скрыт [показать]
     
     
  • 2.46, Ilya Indigo, 13:08, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну это же не безопасно для ... весь текст скрыт [показать] [показать ветку]
     
  • 2.53, sur pri, 03:29, 26/03/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    gt оверквотинг удален You are an stupid idiot Really, a certificate falsifica... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, sur pri, 04:06, 26/03/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Примечание Сайты не заинтересованные в такого рода вещах могут и должны использ... весь текст скрыт [показать]
     
     
  • 4.55, sur pri, 04:19, 26/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Примечание к примечанию. Даже последний случай не даёт права фальсифицировать данные.
     
  • 1.48, adolfus, 15:55, 25/03/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Пора переходить на одноразовые блокноты.
     
     
  • 2.50, Какаянахренразница, 20:24, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    > Пора переходить на одноразовые блокноты.

    "А на словах просил передать следующее" (C)

     
  • 1.51, arisu, 23:34, 25/03/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    «мужик, я не понимаю: ты охотник или #$%:с?» (ц)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor