Názory k článku Trustwave vytvořili SSL certifikát umožňující špehování, teď ho revokují
-
Použitý certifikát nebyl "falešný", alespoň z X.509 pohledu. Celá věc probíhá takto:
1) TrustWave je uznávanou certifikační autoritou v Mozilla i MSRCP seznamech (kořenový certifikát SecureTrust CA)
2) TrustWave vydala podřízený CA certifikát nějaké firmě v HSM modulu - tato podřízená CA může zase vydávat libovolné certifikáty
3) HSM modul sedí v routeru u zákazníka a při požadavku na https://domena.tld vystaví certifikát pro domena.tld a použije jej k sestavení SSL spojení směrem ke klientovi (a na druhou stranu otevře jako každá normální proxy spojení k cílovému serveru)Takže z pohledu PC klienta vidím platný certifikát pro domena.tld, vystavený nějak pojmenovanou podřízenou autoritou a uznávaný mým prohlížečem, protože v něm mám kořenový certifikát TrustWave. Zjistit takovýto MITM mohu dvojím způsobem:
1) Pamatuji si odedříve, odkud nakupuje Google certifikáty a vím, že to není tato autorita (případně mám v prohlížeči rozšíření, které to hlídá za mě)
2) Přijde mi divné, že celý internet má certifikáty vydávané jednou a tou samou autoritouNutno zdůraznit, že TrustWave bude teď nejspíše neprávem zlynčována za činnost, která je pravděpodobně provozována zcela běžně dalšími velkými autoritami. TrustWave jen "měla gule" na to, aby s tím vylezla na světlo, ale vydávání subCA externím entitám je vcelku veřejným tajemstvím (a HW řešení pro výše popsanou činnost jsou normálně komerčně dostupná).
Pro TrustWave v tomto případě taky mluví fakt, že vydaná subCA byla uzamčena neexportovatelně v HSM modulu omezeném na tento účel. Nikdo neví, jestli nějaká jiná CA nevydává podobný certifikát jen tak na papíře a tudíž použitelný volně.
-
Jarda Kuba (neregistrovaný)
Nejspíše půjde o tzv. wildcard certifikát, akorát, že nešlo o certifikát vydaný pro *.domenaxyz.cz, které se vydávají běžně a platí pro všechy subdomény v rámci domény, ale o certifikát vydaný pro doménu * - hvězdička, tj. je platný pro všechy domény. Použijtelné je to ale jen v případě, že máte možnost zachytávat komunikaci, tj. musíte být na trase, pokud šlo o DLP, tak byl certifikát nasazen asi na nějaké proxy řešení. Každopádně jde ale o prasárnu, na kterou by nikdo neměl ani pomyslet, závažným způsobem to narušuje důvěryhodnost celého procesu vydávání certifikátů, proti tomu jsou všechny faux-pas s vydáváním certifikátů neoprávněným osobám (viz např. kauza, kdy certifikáty Microsoftu byly vydány osobě, která s MS neměla nic společného) směšné.
-
Hvězdička první úrovně je natolik děsivý nápad, že neznám prohlížeč, který by takový certifikát akceptoval. V tomto případě by to navíc bylo poměrně nápadné, protože u prohlížečů zobrazujících jméno z certifikátu u adresy by u všech stránek svítilo totéž (a po rozkliknutí by byl vidět ten CN=*. certifikát)
-
Rozdíl je vcelku podstatný: Že si vláda/policie/atd. může podobnou službu od autority vynutit, je všeobecně uznávaný fakt. Že si stejnou věc můžu koupit já, Běžný Franta Podnikatel, je trochu jiné kafe.
Zajímavé čtení k tématu je třeba http://files.cloudprivacy.net/ssl-mitm.pdf
-
Yusaku (neregistrovaný)
Nejak nechapu, proc je kolem toho tolik humbuku, kdyz to pritom dela spousta jinych cert. autorit uz leta a nikomu to doted nevadilo - viz treba http://www.sslshopper.com/article-trusted-root-signing-certificates.html
Koneckoncu odkaz na http://www.youtube.com/watch?v=Z7Wl2FW2TcA byl na lupe nedavno, pokud si vzpominam spravne.
-
Lol Phirae (neregistrovaný)
Nevěříte těm standardně dodaným? No tak je vyházejte!
Tohle je "skvělá" rada. Už jste ji zkusil pod Windows? "Vyhozený" certifikát je zpět při nejbližší návštěvě libovolného webu, který jej používá. Takže minimálně u IE a Chrome je tahle "rada" úplně k ničemu, protože tyhle prohlížeče používají systémové certifikáty. Takže pro příště - certikáty přesuňte do “Untrusted Certificates”, nemazat, je to úplně k ničemu!!!
ČLÁNKY DO MAILU