Comments 50
UFO just landed and posted this here
За такое надо банить CNNIC перманентно
Рафик невиноват
www.mcsholding.com/MCSResponse.aspx
Совершенно случайно девайс стал работать как SSL прокси, ага.
MCS had received the Sub-ordinate certificate from CNNIC on mentioned date and started the test on same day inside MCS lab which is a protected environment, MCS had assured to store the private key in a FIPS compliant device (Firewall), to run the test which had started with no incidents on Thursday, and for the sack of unintentional action the Firewall had an active policy to act as SSL forward proxy with an automatic generation for a certificates for browsed domains on the internet, which had been taken place on a weekend time (Friday, and Saturday) during unintentional use from one of the IT Engineers for a browsing the internet using Google Chrome which had reported a miss-use at Google’s End.
www.mcsholding.com/MCSResponse.aspx
Совершенно случайно девайс стал работать как SSL прокси, ага.
позволяя, к примеру, компаниям следить за своими работниками таким образом, что у тех не возникало подозрений в том, что их текущее соединение не является безопасным
Компания для своих компьютеров без проблем может выпустить корневой сертификат. А тут скорее всего все несколько интереснее.
Согласен, учитывая что недавно хакеры взломали сеть Белого Дома, думаю, таким образом за бугорные товарищи пытаются ломануть наших xD
Когда компания использует для MitM private CA — это никого не волнует. Когда public CA подписывает неограниченный сертификат с CA:True — это принципиально другая ситуация.
Тут еще проблема с браузерами, точнее с их интерфейсом…
Что соединение защищено сертификатом они показывают, а вот кому выдан сертификат (и проверялись ли данные компании, или только сам домен) — никто обычно не смотрит…
Что соединение защищено сертификатом они показывают, а вот кому выдан сертификат (и проверялись ли данные компании, или только сам домен) — никто обычно не смотрит…
вообще-то браузер проверяет, что сертификат выдан тому домену, на который ты зашел. однако на один и тот же домен сертификат может быть выдан кучей разных CA, и понять какой из них левый, без отпечатка ключа нельзя.
Так должен проверять не только домен, но и организацию.
Какую организацию?
Которой выдан сертификат и документы которой проверялись при выдаче сертификата.
Вы всерьез полагаете, что если можно подделать сертификат с доменным именем, то в нем нельзя указать такие же данные, что и в настоящем сертификате организации? Или вы знаете какой-то другой способ «проверки организации» браузером?
Если сертификат выдается легальным доверенным центром сертификации — то естественно нельзя, т.к. у мошенников не будет соответствующих документов. А сертификаты для которых проверяется только домен — легко выпустить взломав сайт или почту на домене.
Аналогично и для всякого софта на ISP подделывающего сертификаты по пути маршрута для перехвата SSL-трафика — при проверке организации, на которую выдан сертификат, браузером — такая проверка просто бы не прошла.
Аналогично и для всякого софта на ISP подделывающего сертификаты по пути маршрута для перехвата SSL-трафика — при проверке организации, на которую выдан сертификат, браузером — такая проверка просто бы не прошла.
Вы точно осознали смысл поста? В том-то и дело, что сертификат выдан легальным доверенным центром сертификации.
И организация в нем совпадала с организацией, на которую выдан оригинальный сертификат? Сильно сомневаюсь.
Признайтесь, вы не владете темой X.509?
Почему же?
Потому, что ответ на ваш предыдущий вопрос очевиден любому, кто с этим мало-мальски знаком. И этот ответ «да».
Хуже, что вы в этом боитесь признаться.
Хуже, что вы в этом боитесь признаться.
И знаком, и сертификаты продаю в том числе более 13 лет.
Какой ужас. И вы продаете своим клиентам сертификаты со свойством CA:True? Продайте мне?
Нет конечно )
А почему? В смысле почему вы не продаете, но при этом не понимаете, каким образом случилось описанное в посте?
Почему не понимаю? Вроде все понятно описано.
И прецеденты с фильтрацией трафика на стороне провайдера по аналогичной технологии уже были.
Только организация в сертификате никогда не подделывалась — просто генерировались сертификаты на домен.
И прецеденты с фильтрацией трафика на стороне провайдера по аналогичной технологии уже были.
Только организация в сертификате никогда не подделывалась — просто генерировались сертификаты на домен.
Думаете, что только именно этим такие сертификаты отличались от оригинальных? (ну и разумеется отпечатком)
Любой тривиальный кусок говна типа mitmproxy может взять оригинальный сертификат и выпустить аналогичный (с тем же subject /O=Google Inc/CN=*.google.com).
Это просто увеличивает latency (надо сходить на реальный сайт за сертификатом вместо того, чтобы сразу сгенерировать с синтетическим /CN=*.google.com).
Это просто увеличивает latency (надо сходить на реальный сайт за сертификатом вместо того, чтобы сразу сгенерировать с синтетическим /CN=*.google.com).
И думаете им за это ничего не будет?
Одно дело домен, другое дело выдавать сертификат за выданный конкретной организации, и подтверждать то что он выдан именно ей.
Одно дело домен, другое дело выдавать сертификат за выданный конкретной организации, и подтверждать то что он выдан именно ей.
Любая выдача сертификата не настоящему владельцу (домен там будет или домен + учетные данные организации или физ. лица) публичным CA — это серьезное деяние идущее в разрез с требованиями к аккредитованному public CA и, в идеале, должно приводить к отзыву сертификата самого CA.
Отозвать CA, если он рутовый, КМК, нельзя ) Можно только его выпилить на локальной машине, что гуглы и собираются сделать в следующей версии Chrome.
Но, кстати, поглядел сейчас списки доверенных центров — там этой китайской шаражки нет.
Но, кстати, поглядел сейчас списки доверенных центров — там этой китайской шаражки нет.
Под «отозвать» я имел ввиду не какая-нибудь техническую процедуру, а недоверие со стороны основных игроков.
Каждый из них может выпустить обновление, удаляющее данный ca (или костыль, чтобы заблокировать его, если он в доверенных в системном списке cacerts и на данной ОС используется системный список). Т.е. это должны сделать Google, Mozilla, Microsoft, Oracle, вендоры разных дистрибутивов (хотя многие пользуются набором от Mozilla).
У себя выпилил его руками за пару дней до этой статьи из nssdb хрома.
Каждый из них может выпустить обновление, удаляющее данный ca (или костыль, чтобы заблокировать его, если он в доверенных в системном списке cacerts и на данной ОС используется системный список). Т.е. это должны сделать Google, Mozilla, Microsoft, Oracle, вендоры разных дистрибутивов (хотя многие пользуются набором от Mozilla).
У себя выпилил его руками за пару дней до этой статьи из nssdb хрома.
А на гугле свет клином сошелся? Почему эта контора не могла сгенерить поддельные сертификаты на еще кучу компаний, публичные ключи которых не вшиты в браузеры?
Могла, и наверняка сгенерировала. Поэтому CNNIC и был исключен из списка доверенных центров выдачи сертификатов. Т.е. все поддельные сертификаты (если они были) теперь тоже не работают.
У гугла (благодаря хрому) просто есть инструмент для выявления подобных фокусов.
Публичный ключик гугла вшит в хром и вероятно при открытии сервисов гугла он проверяет не только то что сертификат соответствует домену, но и то что это действительно тот сертификат который ожидается и в случае если это не так сливает информацию о этом факте на сервера гугла с информацией о левом сертификате.
Таким образом у гугла есть распределенная сеть для отслеживания попыток подмены своих сертификатов и вероятно когда количество пользователей с подобными проблемами на одном сертификате превышает какой-то порог к разбирательству приступают их специалисты.
Публичный ключик гугла вшит в хром и вероятно при открытии сервисов гугла он проверяет не только то что сертификат соответствует домену, но и то что это действительно тот сертификат который ожидается и в случае если это не так сливает информацию о этом факте на сервера гугла с информацией о левом сертификате.
Таким образом у гугла есть распределенная сеть для отслеживания попыток подмены своих сертификатов и вероятно когда количество пользователей с подобными проблемами на одном сертификате превышает какой-то порог к разбирательству приступают их специалисты.
Да это всё понятно, я просто к тому, что данная новость воспринята как-то легко. Ну нашли левый сертификат, выданный на гугл, ну нашли того, кто в этом виноват, ну уберут из доверенных этот trusted root только в следующей версии.
А то, что, наверняка, кроме гугла ещё куча таких сертификатов есть — это как-то не обсуждается. Камент был про то, что надо взгянуть на проблему шире, а успокаиваться рано.
А то, что, наверняка, кроме гугла ещё куча таких сертификатов есть — это как-то не обсуждается. Камент был про то, что надо взгянуть на проблему шире, а успокаиваться рано.
Да это всё понятно, я просто к тому, что данная новость воспринята как-то легко. Ну нашли левый сертификат, выданный на гугл, ну нашли того, кто в этом виноват, ну уберут из доверенных этот trusted root только в следующей версии.
А разве когда-то было иначе? Насколько я знаю, только история с голыми знаменитостями получила какую-то более-менее серьезную огласку, да и то, уже про это начинают забывать.
А как насчет вот этого www.rbcdaily.ru/world/562949988649672 или вот этого hitech.newsru.com/article/05Dec2014/auroragold?
Всем действительно стало пофиг. Мне кажется, этот сдвиг произошел буквально за последние пару десятков лет, и фейсбук сыграл не последнюю роль.
А что тут такого удивительного? Не исключено, что такие сертификаты есть и у, например, американского правительства; крупных транснациональных корпораций или кого-либо ещё. Ничего не изменилось, в общем-то. отпечаток ключа было нужно, нужно и будет нужно проверять.
Не исключено.
Отпечаток надо проверять. Только где его взять? Опять таки, имея левый сертификат гугла, можно подсунуть левый хром, который не будет уже проверять глючи гула, например, а проверять свои. В классике отпечатки должны быть переданы другим надежным каналом.
Я согласен лишь с таким утверждением, что при наличии отпечатка, нужно отключать «как бы» доверенные CA.
Отпечаток надо проверять. Только где его взять? Опять таки, имея левый сертификат гугла, можно подсунуть левый хром, который не будет уже проверять глючи гула, например, а проверять свои. В классике отпечатки должны быть переданы другим надежным каналом.
Я согласен лишь с таким утверждением, что при наличии отпечатка, нужно отключать «как бы» доверенные CA.
А то, что теперь на гиктаймс не залогиниться из-за ошибки SSL — это случайно не связано? =\
Firefox новый, аддоны/файрвол/антивирус нипричем…
Firefox новый, аддоны/файрвол/антивирус нипричем…
Sign up to leave a comment.
Обнаружены поддельные сертификаты для доменов Google