The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.03.2015 18:36  Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов

Компания Google сообщила о выявлении в сети обманного TLS-сертификата, используемого в прокси-сервере для установки не вызывающих подозрений защищённых соединений с любыми серверами в сети. В том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google.

В ходе разбирательства выяснилось, что китайский удостоверяющий центр CNNIC (China Internet Network Information Center) передал холдингу MCS промежуточный (вторичный) корневой сертификат, на условии его использования только для доменов, зарегистрированных данной компанией. В нарушение всех правил обращения с корневыми сертификатами, закрытый ключ не был изначально помещён в HSM (Hardware Security Module), а установлен в MITM-прокси, осуществляющем перехват защищённых соединений с целью контроля за работой сотрудников корпорации.

По сути прокси сервер был наделён полномочиями полноценного удостоверяющего центра, на лету генерирующего необходимые для любых доменов корректные сертификаты. Подобные сертификаты не вызывали подозрений во всех операционных системах и браузерах, так как сертификат CNNIC был занесён в список заслуживающих доверие корневых сертификатов. Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней, так как CNNIC делегировал свои полномочия сторонней организации, не имеющей право на обращение с подобными сертификатами. Сам вторичный корневой сертификат был помечен как тестовый и выписан на две недели.

Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации может привести к коллапсу всей системы. Средства защиты от подобных манипуляций, например методы перекрёстной сертификации или специальные расширения к протоколу TLS, только разрабатываются.

Chrome и Firefox позволяет отловить некорректные манипуляции с сертификатами благодаря наличию механизма Public Key Pinning, позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта (в частности, Google жестко привязывает в Chrome свои домены к определённому удостоверяющему центру). Если для установки защищённого соединения применён достоверный сертификат выписанный иным удостоверяющим центром, соединение будет отвергнуто из-за подозрения в атаке "man-in-the-middle". Для оперативного отзыва сертификатов промежуточных удостоверяющих центров в Google Chrome используется механизм CRLset. В следующем выпуске Firefox ожидается появление механизма OneCRL, предоставляющего похожие на CRLset средства для централизованного отзыва сертификатов.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: EFF, Mozilla, Cisco и Akamai создадут контролируемый сообществом удостоверяющий центр
  3. OpenNews: Выявлены обманные SSL-сертификаты, полученные из-за халатности удостоверяющего центра TurkTrust
  4. OpenNews: Mozilla объявляет ультиматум удостоверяющим центрам
  5. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  6. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ssl, cert, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 19:02, 24/03/2015 [ответить] [смотреть все]
  • +1 +/
    расстраивает то что фаерфокс не позволяет отключить сертификаты вот таких вот не... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 19:16, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    с введение мозилой своих центров сертификации, такое станет доступным
     
     
  • 3.6, Аноним, 19:44, 24/03/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    Чем это отличается от того, что есть сейчас ... весь текст скрыт [показать]
     
     
  • 4.13, Ан0ним, 20:21, 24/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Чем больше центров сертификации тем надежнее! Правильно?


     
     
  • 5.15, Fomalhaut, 21:48, 24/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    У семи нянек... (С)
     
     
  • 6.24, Anonim, 22:27, 24/03/2015 [^] [ответить] [смотреть все]  
  • +28 +/
    Четырнадцать титек.
     
     
  • 7.28, Аноним, 23:53, 24/03/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Это в теории. У няньки может быть член или отсутствующая титька.
     
     
  • 8.47, XoRe, 15:09, 25/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    > Это в теории. У няньки может быть член

    Но титьки то тоже будут :)

     
  • 5.17, Аноним, 22:00, 24/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Еще как: теперь и мозилла сможет подписывать сертификаты на что угодно!
     
  • 5.18, Аноним, 22:03, 24/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет. Наоборот.
     
  • 2.4, rm_, 19:19, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Позволяет, в опциях поройтесь. Но это не выход.
     
  • 2.9, Аноним, 19:48, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Позволяет, плохо смотрели Но туда редко кто заглядывает Другой вопрос как узна... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Ан0ним, 20:18, 24/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Все, которые расположены не на /dev/sda
     
  • 3.21, Аноним, 22:06, 24/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Никак Без OCSP это вообще нереально, кроме как вручную - а не заипёшься ли ты и... весь текст скрыт [показать]
     
     
  • 4.26, sur pri, 23:33, 24/03/2015 [^] [ответить] [смотреть все]  
  • +/
    - Вот узнали же Хотя в заявлениях Google что-то не находится например неправи... весь текст скрыт [показать]
     
  • 4.27, Аноним, 23:41, 24/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Чего бы это вдруг Запомнить при первом конекте fingerprint и если поменялся - с... весь текст скрыт [показать]
     
  • 1.8, Аноним, 19:45, 24/03/2015 [ответить] [смотреть все]  
  • +1 +/
    Они изобрели SSL Bump! :)))))))))))))))
     
  • 1.10, Аноним, 19:58, 24/03/2015 [ответить] [смотреть все]  
  • +/
    Отключил для пробы доверие к сертификату CNNIC в Фоксе aliexpress не пострадал,... весь текст скрыт [показать]
     
     
  • 2.16, Anonplus, 21:58, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проект... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Аноним, 22:05, 24/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Серверные А тут речь о том, что эти ушлёпки отдали корневой, с правом подписи ... весь текст скрыт [показать]
     
  • 3.52, sur pri, 02:42, 26/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Поддерживая повсеместное внедрение Внедрение Своих сертификатов - ... весь текст скрыт [показать]
     
  • 1.11, Аноним, 19:58, 24/03/2015 [ответить] [смотреть все]  
  • –1 +/
    dpkg-reconfigure ca-certificates
     
  • 1.14, Ilya Indigo, 21:09, 24/03/2015 [ответить] [смотреть все]  
  • +/
    >Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней.

    В который уже раз, она всё живее всех живых.

     
     
  • 2.25, Michael Shigorin, 23:29, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Как и МВФ с ФРС, забавное совпадение -- и тут опять китайцы ... весь текст скрыт [показать] [показать ветку]
     
  • 1.29, Аноним, 23:56, 24/03/2015 [ответить] [смотреть все]  
  • +/
    И главное, никто даже и не пытается особо обеспечивать поддержку RFC6091 в прило... весь текст скрыт [показать]
     
     
  • 2.36, Аноним, 07:52, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Существующая система сертификации прекрасно выполняет свои цели как известно, и... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Demo, 12:58, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    > Существующая система сертификации

       Не вызывает доверия.

     
  • 1.30, Аноним, 23:57, 24/03/2015 [ответить] [смотреть все]  
  • +/
    отключил в фоксе и конкьюре. спасибо за инфо!
     
  • 1.31, Dzmitry, 01:44, 25/03/2015 [ответить] [смотреть все]  
  • +/
    А opennet.ru вообще не поддерживает HTTPS :D
     
     
  • 2.32, Ilya Indigo, 01:46, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > А opennet.ru вообще не поддерживает HTTPS :D

    https://ssl.opennet.ru

     
     
  • 3.33, Аноним, 02:34, 25/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Алгоритм подписи PKCS 1 MD5 с шифрованием RSA E mc tyumen ru CN opennet ... весь текст скрыт [показать]
     
     
  • 4.44, Ilya Indigo, 13:02, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    С этим я не спорю, он тут просто для галочки, но он на этом сайте и не нужен, ос... весь текст скрыт [показать]
     
  • 3.34, Аноним, 04:51, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    а мини-opennet, версия которая открывается по http://opennet.ru есть?
     
  • 3.40, ryoken, 09:33, 25/03/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    > https://ssl.opennet.ru

    Не знал, спасибо :).

     
     
  • 4.56, Адекват, 07:10, 26/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Да нафиг нужно на самоподписанных то ... весь текст скрыт [показать]
     
     
  • 5.57, Andrew Kolchoogin, 12:29, 26/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Судя по тексту новости, несамоподписанные не сильно отличаются от самоподписанны... весь текст скрыт [показать]
     
  • 1.35, Аноним, 05:56, 25/03/2015 [ответить] [смотреть все]  
  • +5 +/
    Что, собственно, очередной раз демонстрирует эпичный системный фейл всей текущей... весь текст скрыт [показать]
     
  • 1.37, Slot, 07:57, 25/03/2015 [ответить] [смотреть все]  
  • +/
    Замочил CA в firefoxе
     
  • 1.39, AlexAT, 09:12, 25/03/2015 [ответить] [смотреть все]  
  • +/
    Именно поэтому давно пора переводить сайтовую PKI на публикацию компаниями собственных ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с желающих купить сертификат.
     
     
  • 2.43, Demo, 13:01, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну, будут публиковать нужные поддельные сертификаты с неподконтрольных авторитет... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, AlexAT, 20:13, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Толк в том, что для подделки сертификата придётся подделать конечную запись о нё... весь текст скрыт [показать]
     
  • 1.41, а, 10:41, 25/03/2015 [ответить] [смотреть все]  
  • +1 +/
    В каком месте CNNIC расшифровывается как China Internet Network Information Center?
    Может тогда уж CINIC?
     
     
  • 2.58, pavelpat, 20:14, 02/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Может быть Network Information Center зоны CN?
     
  • 1.45, Аноним, 13:02, 25/03/2015 [ответить] [смотреть все]  
  • +1 +/
    В списке рассылки Firefox после новости http www opennet ru opennews art shtml... весь текст скрыт [показать]
     
     
  • 2.46, Ilya Indigo, 13:08, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну это же не безопасно для ... весь текст скрыт [показать] [показать ветку]
     
  • 2.53, sur pri, 03:29, 26/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    gt оверквотинг удален You are an stupid idiot Really, a certificate falsifica... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, sur pri, 04:06, 26/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Примечание Сайты не заинтересованные в такого рода вещах могут и должны использ... весь текст скрыт [показать]
     
     
  • 4.55, sur pri, 04:19, 26/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Примечание к примечанию. Даже последний случай не даёт права фальсифицировать данные.
     
  • 1.48, adolfus, 15:55, 25/03/2015 [ответить] [смотреть все]  
  • +/
    Пора переходить на одноразовые блокноты.
     
     
  • 2.50, Какаянахренразница, 20:24, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    > Пора переходить на одноразовые блокноты.

    "А на словах просил передать следующее" (C)

     
  • 1.51, arisu, 23:34, 25/03/2015 [ответить] [смотреть все]  
  • +/
    «мужик, я не понимаю: ты охотник или #$%:с?» (ц)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor