Заметка Mozilla и Apple забанят удостоверяющие центры WoSign и StartCom

SOUL

АдминкА
Администратор
Сообщения
7.664
Симпатии
10.831
Баллы
266
#1
25f295dcee544f6da7a953f54890de65.jpeg


Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

, показало, что китайский удостоверяющий центр WoSign (о бесплатных сертификатах которого

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.


Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.


Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

на

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

) за последние пару лет допустил вопиющее количество нарушений.

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

позволяла злоумышленнику, владеющему поддоменом, получить сертификат на весь домен. Обнаружившему это исследователю удалось получить фиктивные сертификаты GitHub (например, test.github.io), Microsoft и Alibaba. WoSign знала об уязвимости на протяжении 14 месяцев, но не исправила её, ограничившись отзывом сертификатов, содержащих «github» в имени домена. Выдача ошибочных сертификатов продолжалась. Оставшиеся проблемные сертификаты компания согласна отозвать лишь в случае обращений со стороны владельцев пострадавших доменов.

Вторая уязвимость оказалась воистину эпичной. После успешного прохождения проверки на владение доменом злоумышленник имел возможность добавить в список проверенных доменов любой посторонний домен. Абсолютно любой. Уже безо всякой проверки.

Словно этого было мало, WoSign втихомолку приобрела израильский удостоверяющий центр StartCom. Более того, когда ребята из Mozilla намекнули, что «так делать нехорошо» (и это мягко сказано, такое сокрытие нарушает

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

Mozilla), WoSign

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

.

Когда стало ясно, что шила в мешке не утаишь, компания выпустила

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

, признавшись в «осуществлении инвестиций в StartCom». При этом, единственным руководителем StartCom и, одновременно, CEO WoSign является один и тот же человек. Существуют и технические доказательства того, что StartCom (в настоящий момент) использует большую часть инфраструктуры WoSign. Многовато получается совпадений для компаний, которые, как гласит пресс-релиз WoSign, «действуют и управляются независимо друг от друга».

2016

Следующий год WoSign начала с того, что в середине января задним числом выпустила сертификаты SHA-1. Дату «отмотали» на месяц назад. Это позволило избежать блокировки сертификатов популярными браузерами, которые договорились с 2016 года принимать лишь сертификаты SHA-2, поскольку из-за роста вычислительных мощностей алгоритм SHA-1 уже сдаёт позиции и

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

. В документации

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

чётко регламентируется — с 2016 года удостоверяющие центры не должны выпускать сертификаты с использованием SHA-1:
Effective 1 January 2016, CAs MUST NOT issue any new Subscriber certificates or Subordinate CA certificates using the SHA‐1 hash algorithm.

Три сертификата удалось разоблачить из-за невнимательности WoSign: внедрённые в три из них STC-метки (signed certificate timestamp) указывали на середину января 2016, из чего явно следует, что сертификаты не могли быть созданы раньше этого срока.

Ещё 62 сертификаты выявили благодаря тому, что они были выданы в воскресенье. Это совершенно нехарактерно для WoSign — в выходной день сотрудники в Китае не работают и сертификаты не выдаются. Были и другие косвенные свидетельства подлога даты.

В июле отличилась уже StartCom со своим сервисом

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

, запущенном в качестве ответа

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

. Просто поменяв один параметр POST-запроса в конце автоматической проверки, можно было добиться того, что сертификат имел подпись не от «StartCom Class 1 DV Server CA», а «WoSign CA Free SSL Certificate G2» или даже «CA 沃通根证书» (ещё один корневой сертификат WoSign). Некоторые из из этих сертификатов, выпущенные StartCom и подписанные «WoSign CA Free SSL Certificate G2», к тому же, датировались задним числом.

Формально, выпуск задним числом не запрещён, но это порочная практика. WoSign всячески отрицала, что подделала дату выпуска этих сертификатов. Её представители утверждали, что к этому времени уже убрали с «боевых» серверов соответствующий код, который фальсифицировал дату. Но как же тогда парни из StartCom смогли использовать код, который даже сама WoSign уже использовать перестала?

В целом, этот эпизод демонстрирует безалаберность программистов — если в столь важном процессе, как выпуск сертификатов, оставить опасный код, то он рано или поздно «выстрелит». Что и произошло.

Кроме того остаётся открытым вопрос, как вообще StartCom так свободно может выпустить сертификат от имени WoSign? Ведь CEO WoSign уверял всех, что компании работают совершенно независимо.

Дальше — больше: в StartEncrypt обнаружили

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

. Одна позволяла в качестве подтверждения контроля над доменом указать путь к любому существующему файлу. Например, загрузить файл в Dropbox и указать путь к нему. Результатом стал бы выпуск сертификата для dropbox.com. С помощью другой уязвимости злоумышленник мог получить сертификат для любого сайта, поддерживающего OAuth 2.0 (google.com, facebook.com, paypal.com, linkedin.com, login.live.com).

И наконец, в сентябре 2016 года кто-то из сообщества заметил, что на скриншоте, приложенном к одному из отчётов WoSign, засветился вывод утилиты dig из пакета bind-utils. Версия этой утилиты — 9.7.3-8.P3.el6. «el6» означает «Red Hat Enterprise Linux 6». Конечно, поддержка RHEL6 оканчивается лишь в 2016 году, но вот актуальная версия bind-utils в ней — 9.8.2-0.47.rc1.el6. А «9.7.3-8.P3.el6» соответствует не обновлённому пакету прямиком из 2011 года. За эти пять лет в апстриме закрыли 19 уязвимостей. Пусть ни одна из них не была критической, невольно задаёшься вопросом — может, в WoSign за столько лет не удосужились обновить не только лишь один сервер, но и всю инфраструктуру?

И что в итоге?


Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

Выданные ранее, хорошо это или плохо, остаются в силе. За отпущенный год удостоверяющие центры должны исправить все недостатки, а потом пройти ряд проверок. Иначе, их сертификаты будут заблокированы навсегда.

Корпорация Apple, ознакомившись с отчётом, объявила что

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

и

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

на неопределённый срок прекращают доверять сертификатам, которые выпущены после 19 сентября 2016 года. Поскольку в продуктах Apple корневые сертификаты WoSign не предустановлены,

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

, используемые WoSign.

Реакция остальных крупнейших игроков на рынке браузеров (Google и Microsoft) пока неизвестна.

Источник:

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

 

nv63

Проверенный
Сообщения
42
Симпатии
20
Баллы
3
#2
Бесплатные SSL сертификат Let's Encrypt , на 90 дней с автоматическим продлением

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

Выберите серверное программное обеспечение и систему, в которой он запущен. Появится инструкция как все сделать. На все уходит несколько минут и у вас зеленый замочек.
 
Вверх Снизу