BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2013/01/05.html

Турецкий CA случайно выдал сертификат для google.com
dl // 08.01.13 23:00
Точнее, вместо обычного SSL-сертификата Turktrust полтора года назад выдал своим клиентам два так называемых subordinate CA-сертификата, которые позволяли своим владельцам в свою очередь раздавать сертификаты для любых доменов, которые принимались всеми, кто доверял "родительскому" сертификату.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/01/05.html]
Что открывает очевидные возможности для атаки класса man-in-the-middle. Обнаружили это в Гугле, когда один из клиентов таки выдал сертификат для google.com.

По этому поводу Гугль, Mozilla и Microsoft уже обновили свои браузеры на предмет блокировки тех двух злополучных сертификатов, а Turktrust заверил, что сгенерированный сертификат для google.com не использовался для зловредных целей, мамой клянемся.

Источник: InfoWorld    
теги: leak, ssl  |  предложить новость  |  обсудить  |  все отзывы (16) [4909]
назад «  » вперед

аналогичные материалы
Утечка сертификатов GitHub Desktop и Atom // 31.01.23 21:59
Очередной взлом LastPass: все хуже, чем казалось // 26.12.22 17:26
Dropbox посеял 130 репозиториев // 02.11.22 02:34
Критичная уязвимость в OpenSSL оказалась двумя не столь критичными // 02.11.22 02:25
Критичная уязвимость в OpenSSL 3.x // 28.10.22 19:48
Крупнейшая утечка из облачного хранилища Microsoft // 20.10.22 22:59
Крупный взлом GoDaddy // 23.11.21 20:52
 
последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

А ведь как красиво всё было задумано в теории ;) 11.01.13 09:08  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Централизованные CA в качестве своей сильной фишки приводят в пример возможность отзыва по каким-либо причинам своих сертификатов, а тут инициатива идёт "снизу" — производители клиентского ПО лепят какие-то фильтры неугодных им сертификатов...

Забавно, куда катится этот мир? Всё идёт к децентрализации CA, чтобы тот, кого удостоверяет сертификат, сам же им и управлял, и только он.
К децентрализации идет ВСЕ 17.01.13 15:41  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Поскольку централизованными системами таких масштабов управлять не возможно. Вот, TCP-IP изначально концептуально децентрализован, теми силен. Пиринг децентрализован, потому и непобедим.
«Пиринг децентрализован... поэтому непобедим...» — очень хорошо. 17.01.13 23:42  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 18.01.13 20:19  Количество правок: 3
<"чистая" ссылка>
Тот же namecoin, например, умеет децентрализованно хранить имена доменов и сертификаты... А bitcoin доказывает каждой своей транзакцией, что эту идею можно применять даже для такой серьёзной штуки, как платёжное средство.

Жаль только, namecoin неразвит. В отличие от биткоина, который прямо-таки порвал шаблон -)

шок сенсация panic buy ;)
"Шаблон", как раз-таки - децентрализация. 19.01.13 06:05  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
TCP-IP и роутинг полностью децентрализованы, каждый роутер принимает решение о передаче пакета автономно. Потомувсе и работает в сетях любого масштаба и влюбом мало-мальски работоспособном состоянии. А централизованный ДНС, какизвестно, самое уязвимое звено.

Просто, у человека психоз централизации вопреки всякой логике. У меня давно сложилось такое впечатление, что большинство из нас подсознательно не считает себя разумными и способными принимать сознательные решения.
Я иногда тебя не понимаю. 20.01.13 01:52  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 20.01.13 01:52  Количество правок: 1
<"чистая" ссылка>
> TCP-IP и роутинг полностью децентрализованы, каждый роутер
> принимает решение о передаче пакета автономно. Потомувсе и
> работает в сетях любого масштаба и влюбом мало-мальски
> работоспособном состоянии. А централизованный ДНС,
> какизвестно, самое уязвимое звено.

Я иногда тебя не понимаю. Во-первых - где ты видел централизованный DNS? Такое существовало только в "младенчестве" проекта "DARPA". Сейчас DNS'ы не только децентрализованы, но и практически каждая организация, имеющая серьезную теле-инфокоммуникационную сеть, имеет свой DNS и не один.

> Просто, у человека психоз централизации вопреки всякой
> логике. У меня давно сложилось такое впечатление, что
> большинство из нас подсознательно не считает себя разумными
> и способными принимать сознательные решения.

Касательно CA это совсем не психоз, а вполне разумное решение. Всё просто... Скольким людям ты можешь доверять? Только себе и своим родителям, не так ли? Если тебе предоставляют документ или удостоверение гос.образца без признаков подделки, сколько у тебя оснований не верить предъявителю? Лично я считаю, что чем меньше удостоверяющих центров и чем они надежнее, тем лучше.
«Чем они надежнее, тем лучше» — кто будет мерять их надёжность и "более лучшесть"? ;) 20.01.13 11:53  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 20.01.13 12:01  Количество правок: 1
<"чистая" ссылка>
Турки облажались... И наверное не потому, что турки или что рожей не вышли. Голландцы до этого тоже чудили, видимо трава там забористая. Причин компроментации может быть множество. Но! Складывается парадоксальная ситуация: приходится доверять CA как чёрным ящикам, только на основе статистики их предыдущей работы (т.н. "репутации"). А мы кликаем мышой по "доверенным" сайтам здесь и сейчас, абсолютно не зная текущую ситуацию в CA: болит ли голова у топа и он принял интересное решение, их недавно купили с потрохами безбашенные типы, и там сейчас везде ходят подозрительные рожи и т.п.

> Если тебе предоставляют документ или удостоверение гос.образца без признаков подделки, сколько у тебя оснований не верить предъявителю?
В нашем смишном мире что только не бывает — да блин на типографии гоззнака рабочий решил левака загнать ;) Вот реально, я ничему не удивляюсь, ничего святого. Деньги, деньги, деньги.

> Лично я считаю, что чем меньше удостоверяющих центров и чем они надежнее, тем лучше.
Нет абсолюта и не от чего отталкиваться... Кто будет мерять "надёжность" и более лучшесть? По каким критериям производители клиентского ПО (браузеров как яркий пример) включают поддержку того или иного CA: зачесалась левая пятка или занесли мешок бабла? До сих пор считаешь, что "им лучше знать"? Распределёнка снимала бы эти вопросы, устанавливала всем равные права и была бы абсолютно прозрачной. Ну и всё-таки, быть CA — это тяжкая ответственность, врагу не пожелаешь. И было бы прекрасней размазать эту ответственность тонким слоем по всем, кто заинтересован в работе такого CA, но самую жирную часть — на удостоверяемого!
"Прозрачна" только пустота. 22.01.13 04:11  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
> Распределёнка снимала бы эти вопросы,
> устанавливала всем равные права и была бы абсолютно
> прозрачной. Ну и всё-таки, быть CA — это тяжкая
> ответственность, врагу не пожелаешь. И было бы прекрасней
> размазать эту ответственность тонким слоем по всем, кто
> заинтересован в работе такого CA, но самую жирную часть —
> на удостоверяемого!
Ниче не выйдет при таких объемах информации. Реально проанализировать все "за" и "против" не возможно. Нужно переходить к иной модели самогО поведения в сети: "Все ненадежно и равноопасно". Как известно, TCP-IP создавался именно на этом принципе как связь в условиях войны. Тем и жив.
Именн поэтому, ИМХО, выдавать сертификаты для доменов в... 21.01.13 03:37  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 21.01.13 09:39  Количество правок: 1
<"чистая" ссылка>
> Турки облажались... И наверное не потому, что турки или что
> рожей не вышли. Голландцы до этого тоже чудили, видимо
> трава там забористая. Причин компроментации может быть
> множество. Но! Складывается парадоксальная ситуация:
> приходится доверять CA как чёрным ящикам, только на основе
> статистики их предыдущей работы (т.н. "репутации"). А мы
> кликаем мышой по "доверенным" сайтам здесь и сейчас,
> абсолютно не зная текущую ситуацию в CA: болит ли голова у
> топа и он принял интересное решение, их недавно купили с
> потрохами безбашенные типы, и там сейчас везде ходят
> подозрительные рожи и т.п.

Именн поэтому, ИМХО, выдавать сертификаты для доменов в зонах COM, ORG, NET, EDU, MIL и т.д. должен надзирающий за всем инетом орган (пусть даже это будет IANA), а для зон разных стран - государственный орган. А не шараги, которые ни за что не отвечают, да еще и бабло за это стригут десятками тыщ североамериканских рублей.

> В нашем смишном мире что только не бывает — да блин на
> типографии гоззнака рабочий решил левака загнать ;) Вот
> реально, я ничему не удивляюсь, ничего святого. Деньги,
> деньги, деньги.

Если бы ты знал порядки на госзнаке, ты бы не сомневался. Это может сделать кто угодно и где угодно в цепочке оформления документов, но только не на госзнаке.

> Нет абсолюта и не от чего отталкиваться... Кто будет мерять
> "надёжность" и более лучшесть? По каким критериям
> производители клиентского ПО (браузеров как яркий пример)
> включают поддержку того или иного CA: зачесалась левая
> пятка или занесли мешок бабла? До сих пор считаешь, что "им
> лучше знать"? Распределёнка снимала бы эти вопросы,
> устанавливала всем равные права и была бы абсолютно
> прозрачной. Ну и всё-таки, быть CA — это тяжкая
> ответственность, врагу не пожелаешь. И было бы прекрасней
> размазать эту ответственность тонким слоем по всем, кто
> заинтересован в работе такого CA, но самую жирную часть —
> на удостоверяемого!

Если кто угодно сможет дать "ДОВЕРЕННЫЙ" сертификат на что угодно, какой тогда смысл в сертификатах? )) В этом случае они не будут доверенными.
Ценность доменных имен и зон постепенно уходит... 21.01.13 10:49  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 21.01.13 10:59  Количество правок: 5
<"чистая" ссылка>
> Именн поэтому, ИМХО, выдавать сертификаты для доменов в
> зонах COM, ORG, NET, EDU, MIL и т.д. должен надзирающий за
> всем инетом орган (пусть даже это будет IANA), а для зон
> разных стран - государственный орган. А не шараги, которые
> ни за что не отвечают, да еще и бабло за это стригут
> десятками тыщ североамериканских рублей.
Ценность доменных имен постепенно уходит. «Роза пахнет розой, хоть розой назови её, хоть нет», как справедливо заметил Вильям наш, так сказать, Шекспир: он конечно не имел ввиду современные поисковые системы, но мы-то знаем -)

> Если бы ты знал порядки на госзнаке, ты бы не сомневался.
> Это может сделать кто угодно и где угодно в цепочке
> оформления документов, но только не на госзнаке.
Вот, т.е. красивый сертификат мало что значит. А в IT сертификат должен надёжно удостоверять агента на определённом домене, с чем централизованные CA в настоящее время не справляются. Что и подтверждают последние громкие случаи, и это только то, что всплыло! Сами владельцы CA будут всеми правдами и неправдами скрывать косяки, ибо "репутация" — ну, как банки, которые всегда "надёжны как скала" -))

> > Нет абсолюта и не от чего отталкиваться...
> > размазать эту ответственность тонким слоем по всем...
> Если кто угодно сможет дать "ДОВЕРЕННЫЙ" сертификат на что
> угодно, какой тогда смысл в сертификатах? )) В этом случае
> они не будут доверенными.
Здесь видимо есть непонимание уже существующих наработок навроде системы Nameсoin, например. Итак, будущий владелец домена покупает неймкоины. После этого покупает за них приглянувшееся ему название свободного в данный момент домена в псевдозоне .bit. Почему "псевдо"? Потому, что пока для резольва имён в этой зоне нужно обращаться или к публичным DNS серверам самого проекта namecoin, или поднимать у вас демона сети namecoin, который будет следить за namecoin-транзакциями, и резольвить ваши запросы исходя из его БД транзакций.
Всё эти действия — транзакции в сети, механизм их подтверждений — такой же, как в bitcoin, который пока не поломали, и дай Бог, не поломают долгое время, ибо сильная криптография. Владелец домена корректирует свои записи как ему угодно, добавляя туда записи А, АААА, MX и проч. После этого он может внедрить туда самоподписанный публичный сертификат для домена. Всё, до свидания CA, ответственность размазана, владелец домена — царь и бог, только он должен следить, чтобы у него не слямзили креденциалы управления доменом. И да, домены надо периодически продлять за неймкоины, если не продлять, то он разделегируется системой автоматически, и его может купить кто-то другой.
Такие дела, и смерть CA... и DNS не за горами. Серьёзный конкурент, чистая математика, которой чуждо понятие "репутация". Ей вообще чуждо всё человеческое: и хапнувший бабла судья, принимающий решение о блокировке неугодного конкурентам домена, политики, бандиты и прочая мишура — и эта бесчеловечная справедливость завораживает ;)
ну хз... внедряйте! 21.01.13 16:02  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Сисадмы виндовых служб DNS могут добавить "сервер условной пересылки" зоны .bit... 21.01.13 16:56  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Сисадмы виндовых служб DNS могут добавить "сервер условной пересылки" зоны .bit на IP адрес DNS сервера проекта namecoin 178.32.31.41 (dns.dot-bit.org).

Там пока мало что полезного, сонмище киберсквоттеров... Но раз есть спекулянты — значит есть чем спекулировать! И таки да, sex.bit давно занят -))

Что интересно, yandex.bit занят, при попытке захода браузером на 80 порт получаем сonnection refused. Великий и могучий присматривается к этим нашим серым интернетам? ;)
Шутка, там IP-адрес PPPoE пула некоего ярославского прова.
Срочно сквотим google.bit, mail.bit, news.bit!!! 21.01.13 23:44  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 21.01.13 23:46  Количество правок: 2
<"чистая" ссылка>
А кто сквотировал яндекс, забрал себе ещё и xxx.bit :)
Вот надо гугля попинать - пусть бы 8.8.8.8 в этот самый dns.bit стучался - тогда бы резко дело пошло. Предложить ему за содействие означенный google.bit
Меня? Или - просто не понимаешь? Потому и утрируешь до абсурда. 20.01.13 06:12  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Обращение к одному "сертификатору" не централизация, а монополизация. Он ведь ничем расперделенным не управляет и ни во что не вмешивается. Только сертификат выдает тому, кто обращается.

А ДНС - иерархия и в меру своей иерархичности он и уязвим.
Главная уязвимость DNS не в иерархичности, а в корневых... 21.01.13 03:41  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Главная уязвимость DNS не в иерархичности, а в корневых DNS.
Иерархичность и кеширование, это как раз спасение DNS ) Если ты понимаешь о чем речь.
Кто-нибудь предложил более действенную и менее уязвимую схему разыменования имени в IP? Ну а раз нет, то и говорить не о чем.
Тут, как я понял, кеширование по дефолту, а иерархичности нет - идёт обмен любого с любым 22.01.13 00:23  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 22.01.13 00:25  Количество правок: 2
<"чистая" ссылка>
> Кто-нибудь предложил более действенную и менее уязвимую схему разыменования имени в IP? Ну а раз нет, то и говорить не о чем.
И как раз обмен любого с любым возможен за счёт того, что у любого должна быть trusted информация, иначе клиент её отвергнет. Ну, или обратится к третьей стороне, которых по теории пруд пруди по сравнению с количеством вышестоящих DNS-серверов для данного сервера.
Единственное, что может не нравиться в этой системе (предположим, там действительно неломаемая криптография) - это возможность наводнения интернетов левыми клиентами, которые будут отвергать трастовость "честных" данных и подтверждать трастовость "нечестных" (ещё раз - разговор именно про DNS). Но, в любом случае, цена такой атаки теоретически намного больше цены атаки на корневик.
Это слабость и неразвитость, здесь поддержу на все 100% 19.01.13 10:25  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
> Просто, у человека психоз централизации вопреки всякой
> логике. У меня давно сложилось такое впечатление, что
> большинство из нас подсознательно не считает себя разумными
> и способными принимать сознательные решения.
Этот "психоз централизации" один из этапов развития человека, остаток его детскости. "Психоз централизации" имеет другое название: "патернализм", где корень "папа" ;) Т.е. если не развивать человека, и потакать такому, этот синдром только усугубится.

А уже потом... анархобоязнь и патернализм будет использован для контроля быдла. Надетые на глаза шоры, пропущенное через ноздрю кольцо. С чем и борется тонкий слой осознающих это, всеми доступными им средствами, в том числе и созданием замечательных распределённых программных систем. ИМХО ;)
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach