The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в удостоверяющем центре Comodo позволила получить сертификат для чужого домена

21.10.2016 23:38

Исследователи безопасности продемонстрировали наличие в удостоверяющем центре Comodo уязвимости, позволившей им получить сертификат для не принадлежащего им домена. Информация о проведённом эксперименте была направлена в Comodo и проблема уже устранена.

Comodo использует для получения контактного адреса владельца домена сервис WHOIS, но так как серверы WHOIS для доменов .eu и .be выдают информацию не в текстовом виде, а показывая картинку, в Comodo для перевода информации в текст используется система распознавания текста (OCR). Суть проблемы в том, что OCR неверно интерпретирует некоторые похожие по начертанию символы и цифры, например, путает "1" (один) и "l" (строчная L) или "0" (ноль) и "O" (прописная o). Для обхода этой особенности, в OCR была добавлена специальная проверка, которая интерпретировала спорный знак как цифру, если рядом расположены цифры, или как букву, если знак окружают буквы.

Исследователи провели эксперимент и успешно получили сертификат для сайта a1-telekom.eu крупного австрийского провайдера A1 Telekom, имеющего несколько миллионов клиентов. WHOIS-сервис выдаёт в качестве контактного адреса для домена a1-telekom.eu картинку с email "domain.billing@a1telekom.at", но OCR распознаёт адрес как "domain.billing@altelekom.at" и отправляет на него код подтверждения. Исследователи зарегистрировали новый домен "altelekom.at" и успешно получили полноценный сертификат для домена a1-telekom.eu.

  1. Главная ссылка к новости (https://www.mail-archive.com/d...)
  2. OpenNews: Comodo пытается завладеть брендом Let's Encrypt
  3. OpenNews: ПО Comodo Internet Security подменяло Chrome на незащищённый клон браузера
  4. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  5. OpenNews: Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена
  6. OpenNews: Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/45359-comodo
Ключевые слова: comodo
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (56) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Омомим (?), 23:43, 21/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чёт комод не первый раз уже с такой фигнёй светится.
    Друзья,а кто где берет серты? Кто что порекомендует для хттпс?
     
     
  • 2.3, Ano (?), 23:46, 21/10/2016 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Let's Encrypt
     
     
  • 3.11, Z (??), 02:13, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А почему тогда LOR комодовским сертификатом пользуется?
     
     
  • 4.13, Аноним (-), 02:39, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что у них разный ранг типа.
     
     
  • 5.37, Онаним (?), 19:43, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И какая разница? Зачем может быть нужен другой ранг?
     
  • 5.59, Аноним (-), 19:59, 25/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это ты так намекаешь что lor всего лишь какой-то обсиженный мухами домен третьего уровня? :)
     
  • 4.14, Аноним (-), 02:41, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А почему тогда LOR комодовским сертификатом пользуется?

    В Let's encrypt сертификат подтверждает что его выписал тот кто имеет доступ к серверу, а в комодо сертификат показывает кто именно получил его (фирма, частное лицо).

     
     
  • 5.22, бугага (?), 11:53, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    У Comodo всякие сертификаты есть - Domain validation, Organization validation, Extended validation. Не вводите людей в заблуждение
     
  • 4.23, Dimez (??), 12:03, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это же очевидно - из-за qrator.
     
  • 4.31, А (??), 15:04, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну вы так пишете, будто бы LOR показатель )
     
     
  • 5.34, Семилетов (ok), 18:35, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вне ЛОРа нет интернетов.
     
  • 4.42, GG (ok), 17:28, 23/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что у макскома руки из жопы растут и летсенкрипт он не осилил
     
  • 2.4, Аноним (-), 00:25, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    digicert
     
  • 2.6, dry (ok), 00:41, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Вопрос поставлен не правильно. От того что лично ты выберешь другой CA ничего не изменится. Достаточно одного дегенеративного CA чтобы разрушить всю систему доверия.
     
     
  • 3.8, Crazy Alex (ok), 01:10, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    man certificate pinning
     
     
  • 4.10, Laguna (?), 02:07, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > man certificate pinning

    Вам тоже не мешало бы. Это совсем частный случай и никакого отношения к проблеме в общем не имеет.

     
     
  • 5.29, Crazy Alex (ok), 14:41, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так реальные решения почти всегда - для частных случаев. Тех, которых абсолютное большинство. Более общее решение - Certificate Transparency, как оказалось, кроме гугла никому не нужно.
     
  • 4.44, Sw00p aka Jerom (?), 02:11, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    TLSA -не?
     
  • 4.46, пох (?), 10:56, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > man certificate pinning

    о да, это очень полезная штука, например, для microsoft - прятать свои троянцы так, чтобы усложнить анализ, что именно они сливают (ios, вроде, удалось в этом месте поломать, правда, неизвестно, надолго ли, про андроед не знаю).

    А для веба - абсолютно идиотская, во всяком случае, в его нынешнем исполнении. У тебя что-то случается с сертификатом, например, утек ключ (или возникли подозрения, типа, флэшка пять минут лежала на столе вне поля зрения, или очередной heartbleed случился) - был бы он нормальный, ты бы его просто перевыпустил, а так - никто не может попасть на твой чудо-сайт, неизвестно сколько времени, причем браузер пугает пользователей и не показывает в человекопонимаемом виде причину проблемы.

    Пока в браузерах используется идиотская концепция "удостоверяющих центров" - проблема, увы, нерешаема. А она будет использована вечно, каждый хочет полететь туристом на МКС.


     
  • 2.7, Аноним (-), 00:42, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    letsencrypt, конечно, нече кормить буржуев
     
  • 2.15, Какаянахренразница (ok), 04:13, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    +1 к letsencrypt
     
  • 2.27, anomymous (?), 13:50, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если дёшево - GoGetSSL, впрочем, это та же комода, только небрендированная. Там же можно и других поставщиков увидеть.

    Если совсем халявно - то LetsEncrypt, но с их коротким временем жизни и необходимостью всё это скриптовать - скорее мучение, чем сервис.

     
     
  • 3.28, Samm (??), 14:11, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    это просто у вас руки из жопы. и без вебморды неспособность сделать простейшее действие
     
     
  • 4.36, Аноним (-), 19:13, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто тут это оставлю, может осилишь

    https://ru.wikipedia.org/wiki/%D0%AD%D1%84%D1%84

     
  • 3.41, xm (ok), 17:19, 23/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    certbot renew по cron'у раз в неделю это пипец какое мучение, да.
     
     
  • 4.47, пох (?), 11:06, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > certbot renew по cron'у раз в неделю это пипец какое мучение, да.

    если сертификат тебе для галочки - то да, никаких проблем.
    Если тебе все же есть что прятать, а репутация представляет какую-то ценность - это означает, что раз в неделю надо проверять, что чудесный робот-ебобот не отвалился, не сглючил, не изменился внезапно апи, и ты не торчишь в мир либо неработающим сайтом, либо вообще голой жопой. Глазами. Потому что автопроверятели тоже имеют тенденцию глючить, ломаться, и не замечать очевидных вещей, они не люди. Теперь представь, что таких сайтов у тебя пара сотен. Еще одна проблема - невозможность (нормально) использовать пароль в закрытом ключе, и, соответственно, катастрофа при его утечке.

    Единственная польза от летсэкнкрипта - зашумление этих ваших интернетов шифрованным бесполезным мусором. Именно за счет тех, кому оно на самом деле вовсе не нужно было.

    Проблема именно в том, что с ним повадились конкурировать, во что комод и вляпался всеми четырьмя. Пока сертификат стоил $120 в год, никакие сраные роботы с встроенным OCR были не нужны.

     
     
  • 5.55, xm (ok), 15:46, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну слушайте, в такой логике можно заявить что всё имеет "тенденцию глючить, ломаться и не замечать очевидных вещей". На то и мониторинг нужен.
    И именно в случае наличие достаточно большого количества сайтов с сертификатами Let's Encrypt особенно хорош.
    Насчёт ляпов и т.п. тут, конечно, не могу не согласиться. Особенно зачётно StartCom вляпался со своим black box - аналогом клиента Let's encrypt.
     
  • 3.45, scorry (ok), 10:42, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > необходимостью всё это скриптовать - скорее мучение, чем сервис.

    Видел тут на хабре обидку от какого-то юзера, который жаловался: мол, зачем хост-провайдер лвм продвигает, если к этому лвм никакого нормального гуи нет, всё из командной строки.

    Это не ты случайно был?

     
  • 2.62, architectofruin (?), 17:58, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Чёт комод не первый раз уже с такой фигнёй светится.
    > Друзья,а кто где берет серты? Кто что порекомендует для хттпс?

    Как вариант, советую проверенный магазин сертификатов LeaderSSL. Среди их клиентов сам Яндекс, что уже говорит о доверии. Плюс свой офис имеют в центре Москвы.

     

  • 1.2, A.Stahl (ok), 23:43, 21/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    >выдают информацию не в текстовом виде, а показывая картинку

    Пусть лучше поют. Или даже можно поставить балет-оперу, аллегорически подающую информацию WHOIS.

     
     
  • 2.16, Какаянахренразница (ok), 04:16, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>выдают информацию не в текстовом виде, а показывая картинку
    > Пусть лучше поют. Или даже можно поставить балет-оперу, аллегорически подающую информацию
    > WHOIS.

    На экзамене:
    Препод: Так ты знаешь ответ?
    Я: Да! Сейчас... э ... ну, как бы это сказать ... не знаю, как это выразить...
    Препод: Ну, не можешь выразить словами -- вырази пантомимой.

    P.S.: Если что, тот экзамен я сдал.

     

  • 1.5, Аноним (-), 00:26, 22/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Они доигрались, теперь только дело времени когда браузеры заблокируют.
     
     
  • 2.12, Z (??), 02:15, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сколько ты готов на это поставить?

    Еще ни один штатовский CA не заблокировали, это ж не китайский CA.

     
     
  • 3.17, Какаянахренразница (ok), 04:22, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Сколько ты готов на это поставить?
    > Еще ни один штатовский CA не заблокировали, это ж не китайский CA.

    Не мешай людям мечтать. Я тоже, кстати, испытываю сладостную негу от одной мысли о бане очередного УЦ, продолбавшего безопасность.

     
  • 3.18, Ergil (ok), 07:44, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Слушай, а ты под кроватью американцев не видишь? А то у тебя и тут во всем виновата страна.
     
     
  • 4.19, A.Stahl (ok), 08:50, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >а ты под кроватью американцев не видишь?

    Так он оттуда их и ненавидит...

     
  • 4.26, Michael Shigorin (ok), 13:12, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Еще ни один штатовский CA не заблокировали, это ж не китайский CA.
    > Слушай, а ты под кроватью американцев не видишь?
    > А то у тебя и тут во всем виновата страна.

    Если процитировать всё вместе, то становится видно, что человек привёл свои наблюдения, а Вы начали их довольно извращённым образом интерпретировать (возможно, проецируя свои проблемы).

    Раз уж взялись -- может, напомните какой-нить заблокированный штатовский CA?  Говоря о том же Comodo -- давайте оценим последствия https://www.opennet.ru/opennews/art.shtml?num=30013

    PS: Ваше #25 удалил по причине нарушения пп. 4, 6 правил форума.

     

  • 1.9, KonstantinB (ok), 01:51, 22/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Никогда такого не было, и вот опять!
     
  • 1.20, Аноним (-), 11:09, 22/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хы, забавно, залез на сайт регистратора, указанного на сайте IANA для .eu (https://www.iana.org/domains/root/db/eu.html), выдаёт в web-интерфейсе текст, а контактный e-mail регистранта - картинкой: https://whois.eurid.eu/en/?domain=ninenines.eu, при этом традиционный whois-сервер не выдаёт ничего и рекомендует обращаться через web-интерфейс.
    Практика публиковать e-mail картинкой, чтобы избежать обнаружения его ботами спаммеров, сыграла злую шутку с разрабами Comodo.
     
     
  • 2.33, А (??), 15:07, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Странно, что Comodo (немаленькая контора, если что) не смогли с whois этих TLD проговорить обмен инфой.
     
     
  • 3.39, Аноним (-), 01:27, 23/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    $ whois tonic.to
    Tonic whoisd V1.1
    tonic no_dns
     

  • 1.21, Аноним (-), 11:24, 22/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё это хорошая иллюстрация того, каким неудобным является латинский алфавит. Проблемы с читаемостью настолько хронические, что многие интернет-службы принимают ввод только заглавными, но и при этом остаётся неразбериха (исключили l, остались I и 1 :). Например, в pwgen есть специальный параметр -B, чтобы избежать этой неразберихи.
    В кириллице только один случай - 0 и О, что можно победить, ставя черту в нолике.
    Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки на чёрточки и точки, в кириллице такого много меньше и рукописное письмо быстрее.
    Всё это не русофильская пропаганда: часть жизни провёл в Сербии, где поровну используют кириллицу и латиницу, так что прочувствовал всё это лично...
     
     
  • 2.30, Crazy Alex (ok), 14:53, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это хорошая иллюстрация того, что некоторые применяют неадекватные ситуации методы - в основном потому, что мхом поросли.

    0) когда писали на бумаге - наличие/отсутствие различий между 0 и O не имело значения.

    1) компьютеру пофиг - символы разные. А человек либо вводит руками то, что знает, либо копипастит. Либо применяет более осмысленные способы передачи информации, чем ввод текста - от файликов до QR-кодов.

    2) рукописное письмо "без отрыва" умерло. AFAIK ему уже и не учат на Западе - нужды абсолютно никакой.

    3) ну и ещё это хорошая иллюстрация наркомании тех, кто сломал сервис, который по определению должен быть машинно-читаемым.

     
     
  • 3.48, КО (?), 12:02, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >ну и ещё это хорошая иллюстрация наркомании тех, кто сломал сервис, который по определению должен быть машинно-читаемым.

    Сервис по задумке авторов должен был быть машино-[b]не[/b]читаемым. Чтоб спам не забивал канал к админу.
    Другое дело, что парням из Комода понадобилось написать бота, читать текст с защитой от бота.
    И защита почти проиграла. :)

     
  • 3.51, scorry (ok), 12:46, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > 2) рукописное письмо "без отрыва" умерло. AFAIK ему уже и не учат
    > на Западе - нужды абсолютно никакой.

    Ага, конечно. То-то в некоторых Штатах обратно курсив в младших школах вводят.

     
  • 2.38, angra (ok), 21:50, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В кириллице только один случай - 0 и О,

    Да что ты говоришь? А куда у тебя делись П и Л, 3 и З, К и Н, Ы и ЬI?

    > Всё это не русофильская пропаганда

    А что тогда? Разве что антипропаганда, типа посмотрите, какую чушь эти русофилы несут.


     
  • 2.43, Аноним (-), 20:00, 23/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблемы с читаемостью

    Это проблемы шрифтов, а не алфавита. См https://ru.wikipedia.org/wiki/%D0%92%D0%B5%D1%80
    > цифра «1» с хорошо различимой петлёй и засечками внизу, чтобы хорошо отличалась от букв «l» и «I» — приём, подсмотренный в шрифтах News Gothic и Franklin Gothic.
    > в рукописном письме

    Кириллица имеет ужасные шшишишиишишиши как подметили ниже (если человек не пишет буквы немного на печатный лад, т.е. т как т, а не m) и эта скорость неотрывного письма нафиг не нужна с такой непонятностью.

     
  • 2.49, Аноним84701 (?), 12:02, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки на чёрточки
    > и точки,

    Ну-ну. Вариаций (в т.ч. и "школьного" варианта написания) там ведь не бывает, да?
    http://i0.wp.com/lehrer-blog.raabe.de/wp-content/uploads/2013/06/Schreibschri
    https://s-media-cache-ak0.pinimg.com/564x/04/f3/62/04f362842815ecf1105832d760f

    А то ведь сразу можно взять что-то каллиграфическое
    https://s-media-cache-ak0.pinimg.com/564x/04/f3/62/04f362842815ecf1105832d760f
    В общем, слышал звон, но не понял, откуда он ...

     
  • 2.50, scorry (ok), 12:31, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки на чёрточки
    > и точки, в кириллице такого много меньше и рукописное письмо быстрее.

    Вы рукописную латиницу где изучали, хочу поинтересоваться?

     
     
  • 3.52, Michael Shigorin (ok), 12:53, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки
    >> на чёрточки и точки, в кириллице такого много меньше и рукописное письмо быстрее.
    > Вы рукописную латиницу где изучали, хочу поинтересоваться?

    Кстати, если Вы вдруг в курсе: dot&cross _вторым_ проходом сейчас на практике встречается или только в поговорке осталось?

     
     
  • 4.54, scorry (ok), 13:48, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>> Кроме того, в рукописном письме латиница характерна бесконечными отрывами руки
    >>> на чёрточки и точки, в кириллице такого много меньше и рукописное письмо быстрее.
    >> Вы рукописную латиницу где изучали, хочу поинтересоваться?
    > Кстати, если Вы вдруг в курсе: dot&cross _вторым_ проходом сейчас на практике
    > встречается или только в поговорке осталось?

    Ннннууууу, конечно. У тех, кто курсивом пишет, естественно.

    Правка: я к курсиву отношу непрерывное письмо. У тех, кто пишет по-английски, по большей части вторым проходом по слову так и делают. Некоторые (изредка) вырабатывают манеру письма, при которой только расставляют точки. Некоторые рвут слово. Всё как обычно, в пределах нормального распределения.

     

  • 1.24, A.Stahl (ok), 12:24, 22/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >в рукописном письме латиница характерна бесконечными отрывами руки

    Именно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишиши.

     
     
  • 2.40, Какаянахренразница (ok), 09:47, 23/10/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    --Где три тысячи тридцатый?
    --Товарищ командир, вооьще-то меня зовут Зозо...
     
  • 2.56, AlexYeCu_not_logged (?), 17:25, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Именно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишиш

    RUS И 1
    LAT I 1
    LAT l 1

     
     
  • 3.57, AlexYeCu_not_logged (?), 17:27, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    О, всё ещё веселее!
    LAT | I l


     
     
  • 4.61, Аноним (-), 13:08, 26/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > О, всё ещё веселее!
    > LAT | I l

    Это здорово, но справка, больничный, рецепт или медицинская карта на русском языке совершенно неповторимы. Прочитать их без мата может только другой доктор. От доктора писавшего оригинал это не зависит. Шииишшшшшшишшшишшишишиши получается у всех.

     
  • 3.58, scorry (ok), 17:32, 24/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>Именно поэтому рукописный латинский текст возможно прочитать даже если писал неграмотный инвалид, а не сплошное кириллическое шшишишиишишиш
    > RUS И 1
    > LAT I 1
    > LAT l 1

    Это не рукописный, а печатный текст. Вы на самом деле не умеете читать или намеренно дурака валяете?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру