The OpenNET Project
 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

24.03.2015 18:36  Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов

Компания Google сообщила о выявлении в сети обманного TLS-сертификата, используемого в прокси-сервере для установки не вызывающих подозрений защищённых соединений с любыми серверами в сети. В том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google.

В ходе разбирательства выяснилось, что китайский удостоверяющий центр CNNIC (China Internet Network Information Center) передал холдингу MCS промежуточный (вторичный) корневой сертификат, на условии его использования только для доменов, зарегистрированных данной компанией. В нарушение всех правил обращения с корневыми сертификатами, закрытый ключ не был изначально помещён в HSM (Hardware Security Module), а установлен в MITM-прокси, осуществляющем перехват защищённых соединений с целью контроля за работой сотрудников корпорации.

По сути прокси сервер был наделён полномочиями полноценного удостоверяющего центра, на лету генерирующего необходимые для любых доменов корректные сертификаты. Подобные сертификаты не вызывали подозрений во всех операционных системах и браузерах, так как сертификат CNNIC был занесён в список заслуживающих доверие корневых сертификатов. Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней, так как CNNIC делегировал свои полномочия сторонней организации, не имеющей право на обращение с подобными сертификатами. Сам вторичный корневой сертификат был помечен как тестовый и выписан на две недели.

Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации может привести к коллапсу всей системы. Средства защиты от подобных манипуляций, например методы перекрёстной сертификации или специальные расширения к протоколу TLS, только разрабатываются.

Chrome и Firefox позволяет отловить некорректные манипуляции с сертификатами благодаря наличию механизма Public Key Pinning, позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта (в частности, Google жестко привязывает в Chrome свои домены к определённому удостоверяющему центру). Если для установки защищённого соединения применён достоверный сертификат выписанный иным удостоверяющим центром, соединение будет отвергнуто из-за подозрения в атаке "man-in-the-middle". Для оперативного отзыва сертификатов промежуточных удостоверяющих центров в Google Chrome используется механизм CRLset. В следующем выпуске Firefox ожидается появление механизма OneCRL, предоставляющего похожие на CRLset средства для централизованного отзыва сертификатов.

  1. Главная ссылка к новости (http://googleonlinesecurity.blogspot.ru/...)
  2. OpenNews: EFF, Mozilla, Cisco и Akamai создадут контролируемый сообществом удостоверяющий центр
  3. OpenNews: Выявлены обманные SSL-сертификаты, полученные из-за халатности удостоверяющего центра TurkTrust
  4. OpenNews: Mozilla объявляет ультиматум удостоверяющим центрам
  5. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  6. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
Тип: Проблемы безопасности
Ключевые слова: ssl, cert, crypt, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
Обсуждение Линейный вид (Ajax) | Показать все | RSS
 
  • 1.1, Аноним, 19:02, 24/03/2015 [ответить] [смотреть все]
  • +1 +/
    расстраивает то что фаерфокс не позволяет отключить сертификаты вот таких вот не... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 19:16, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    с введение мозилой своих центров сертификации, такое станет доступным ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, Аноним, 19:44, 24/03/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    Чем это отличается от того, что есть сейчас ... весь текст скрыт [показать]
     
     
  • 4.13, Ан0ним, 20:21, 24/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Чем больше центров сертификации тем надежнее Правильно ... весь текст скрыт [показать]
     
     
  • 5.15, Fomalhaut, 21:48, 24/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    У семи нянек С ... весь текст скрыт [показать]
     
     
  • 6.24, Anonim, 22:27, 24/03/2015 [^] [ответить] [смотреть все]  
  • +28 +/
    Четырнадцать титек.
     
     
  • 7.28, Аноним, 23:53, 24/03/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Это в теории У няньки может быть член или отсутствующая титька ... весь текст скрыт [показать]
     
     
  • 8.47, XoRe, 15:09, 25/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    > Это в теории. У няньки может быть член

    Но титьки то тоже будут :)

     
  • 5.17, Аноним, 22:00, 24/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Еще как теперь и мозилла сможет подписывать сертификаты на что угодно ... весь текст скрыт [показать]
     
  • 5.18, Аноним, 22:03, 24/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет Наоборот ... весь текст скрыт [показать]
     
  • 2.4, rm_, 19:19, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Позволяет, в опциях поройтесь Но это не выход ... весь текст скрыт [показать] [показать ветку]
     
  • 2.9, Аноним, 19:48, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Позволяет, плохо смотрели Но туда редко кто заглядывает Другой вопрос как узна... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Ан0ним, 20:18, 24/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Все, которые расположены не на dev sda... весь текст скрыт [показать]
     
  • 3.21, Аноним, 22:06, 24/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Никак Без OCSP это вообще нереально, кроме как вручную - а не заипёшься ли ты и... весь текст скрыт [показать]
     
     
  • 4.26, sur pri, 23:33, 24/03/2015 [^] [ответить] [смотреть все]  
  • +/
    >> Другой вопрос как узнать ненадежные CA?
    > Никак.

    :-) Вот узнали же.

    Хотя в заявлениях Google что-то не находится например неправильный сертификат, о котором идёт речь...

     
  • 4.27, Аноним, 23:41, 24/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Чего бы это вдруг Запомнить при первом конекте fingerprint и если поменялся - с... весь текст скрыт [показать]
     
  • 1.8, Аноним, 19:45, 24/03/2015 [ответить] [смотреть все]  
  • +1 +/
    Они изобрели SSL Bump ... весь текст скрыт [показать]
     
  • 1.10, Аноним, 19:58, 24/03/2015 [ответить] [смотреть все]  
  • +/
    Отключил для пробы доверие к сертификату CNNIC в Фоксе aliexpress не пострадал,... весь текст скрыт [показать]
     
     
  • 2.16, Anonplus, 21:58, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проект... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Аноним, 22:05, 24/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Серверные А тут речь о том, что эти ушлёпки отдали корневой, с правом подписи ... весь текст скрыт [показать]
     
  • 3.52, sur pri, 02:42, 26/03/2015 [^] [ответить] [смотреть все]  
  • +/
    > CNNIC славился тем, что бесплатно раздавал сертификаты для некоммерческих проектов, поддерживая
    > повсеместное внедрение https.

    Поддерживая повсеместное внедрение. Внедрение.
    Своих сертификатов >:-)

     
  • 1.11, Аноним, 19:58, 24/03/2015 [ответить] [смотреть все]  
  • –1 +/
    dpkg-reconfigure ca-certificates ... весь текст скрыт [показать]
     
  • 1.14, Ilya Indigo, 21:09, 24/03/2015 [ответить] [смотреть все]  
  • +/
    >Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней.

    В который уже раз, она всё живее всех живых.

     
     
  • 2.25, Michael Shigorin, 23:29, 24/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    >>Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров,
    >>подрывающим доверие к ней.
    > В который уже раз, она всё живее всех живых.

    Как и МВФ с ФРС, забавное совпадение -- и тут опять китайцы...

     
  • 1.29, Аноним, 23:56, 24/03/2015 [ответить] [смотреть все]  
  • +/
    И главное, никто даже и не пытается особо обеспечивать поддержку RFC6091 в прило... весь текст скрыт [показать]
     
     
  • 2.36, Аноним, 07:52, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Существующая система сертификации прекрасно выполняет свои цели как известно, и... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Demo, 12:58, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    > Существующая система сертификации

       Не вызывает доверия.

     
  • 1.30, Аноним, 23:57, 24/03/2015 [ответить] [смотреть все]  
  • +/
    отключил в фоксе и конкьюре спасибо за инфо ... весь текст скрыт [показать]
     
  • 1.31, Dzmitry, 01:44, 25/03/2015 [ответить] [смотреть все]  
  • +/
    А opennet.ru вообще не поддерживает HTTPS :D
     
     
  • 2.32, Ilya Indigo, 01:46, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > А opennet.ru вообще не поддерживает HTTPS :D

    https://ssl.opennet.ru

     
     
  • 3.33, Аноним, 02:34, 25/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Алгоритм подписи PKCS 1 MD5 с шифрованием RSA E mc tyumen ru CN opennet ... весь текст скрыт [показать]
     
     
  • 4.44, Ilya Indigo, 13:02, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    С этим я не спорю, он тут просто для галочки, но он на этом сайте и не нужен, особенно анонимам.
     
  • 3.34, Аноним, 04:51, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    а мини-opennet, версия которая открывается по http opennet ru есть ... весь текст скрыт [показать]
     
  • 3.40, ryoken, 09:33, 25/03/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    > https://ssl.opennet.ru

    Не знал, спасибо :).

     
     
  • 4.56, Адекват, 07:10, 26/03/2015 [^] [ответить] [смотреть все]  
  • +/
    >> https://ssl.opennet.ru
    > Не знал, спасибо :).

    Да нафиг нужно на самоподписанных то..

     
     
  • 5.57, Andrew Kolchoogin, 12:29, 26/03/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Да нафиг нужно на самоподписанных то..

    Судя по тексту новости, несамоподписанные не сильно отличаются от самоподписанных. :)))

     
  • 1.35, Аноним, 05:56, 25/03/2015 [ответить] [смотреть все]  
  • +5 +/
    Что, собственно, очередной раз демонстрирует эпичный системный фейл всей текущей... весь текст скрыт [показать]
     
  • 1.37, Slot, 07:57, 25/03/2015 [ответить] [смотреть все]  
  • +/
    Замочил CA в firefoxе
     
  • 1.39, AlexAT, 09:12, 25/03/2015 [ответить] [смотреть все]  
  • +/
    Именно поэтому давно пора переводить сайтовую PKI на публикацию компаниями собственных ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с желающих купить сертификат.
     
     
  • 2.43, Demo, 13:01, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/

    > ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с

    Ну, будут публиковать нужные поддельные сертификаты с неподконтрольных авторитетных или корневых серверов, толку то?..


     
     
  • 3.49, AlexAT, 20:13, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    >> ключей в защищённых DNSSEC зонах, а не продолжать стричь бабло с
    > Ну, будут публиковать нужные поддельные сертификаты с неподконтрольных авторитетных или корневых серверов, толку то?..

    Толк в том, что для подделки сертификата придётся подделать конечную запись о нём. DNS-серверов много, клиенты валидность могут вполне проверять с корня DNS - т.е. геморроя потребуется много.

     
  • 1.41, а, 10:41, 25/03/2015 [ответить] [смотреть все]  
  • +1 +/
    В каком месте CNNIC расшифровывается как China Internet Network Information Center?
    Может тогда уж CINIC?
     
  • 1.45, Аноним, 13:02, 25/03/2015 [ответить] [смотреть все]  
  • +1 +/
    В списке рассылки Firefox после новости http www opennet ru opennews art shtml... весь текст скрыт [показать]
     
     
  • 2.46, Ilya Indigo, 13:08, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > 2. Это может быть не безопасно.
    > Тут я вообще не понял, о чем речь.

    Ну это же не безопасно для
    > ...центров, продающий свои сертификаты налево...

     
  • 2.53, sur pri, 03:29, 26/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    gt оверквотинг удален You are an stupid idiot Really, a certificate falsifica... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, sur pri, 04:06, 26/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Примечание. Сайты не заинтересованные в такого рода вещах могут и должны использовать http. Без s.
     
     
  • 4.55, sur pri, 04:19, 26/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Примечание к примечанию. Даже последний случай не даёт права фальсифицировать данные.
     
  • 1.48, adolfus, 15:55, 25/03/2015 [ответить] [смотреть все]  
  • +/
    Пора переходить на одноразовые блокноты.
     
     
  • 2.50, Какаянахренразница, 20:24, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    > Пора переходить на одноразовые блокноты.

    "А на словах просил передать следующее" (C)

     
  • 1.51, arisu, 23:34, 25/03/2015 [ответить] [смотреть все]  
  • +/
    «мужик, я не понимаю: ты охотник или #$%:с?» (ц)
     

    Ваш комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:
     
    Навигация
     
     Новости для экспорта XML
     В социальных сетях:  twitter  
     Сводные | за день | мини-новости
     Разделы новостей
     Что нового на OpenNet
     Поиск в новостях
     Новые комментарии
     Добавить свою новость

    Важное
    - 25.03 Релиз GNOME 3.16. Обзор новшеств (124 +50)

    Советы
    - 18.03 Подготовка качественных GIF-файлов из видео при помощи FFmpeg
    - 13.03 Обновление Debian Wheezy до Debian Jessie, не дожидаясь официального релиза
    - 12.03 Подавление шумов средствами PulseAudio
    - 23.02 Создание интерактивных графических моделей в CAS MAXIMA при использовании ОС GNU Linux
    - 05.02 Мониторинг температуры в Zabbix с использованием Digitemp

    Обсуждаемые новости
    - 23:06 Выпуск открытого медиацентра Kodi 14.2 (бывший XBMC)  (16)
    - 22:42 Космическое агентство NASA открыло код платформы для создани (20)
    - 22:35 Релиз Samba 4.2.0. Прекращение поддержки Samba 3 (80)
    - 22:31 На GitHub обрушилась необычная DDoS-атака, проведённая через (110)
    - 20:24 Второй кандидат в релизы инсталлятора Debian 8.0 (52)
    - 20:10 Новая версия легковесного Linux дистрибутива antiX 14.4 (33)
    - 20:00 Доступна финальная бета-версия Ubuntu 15.04, ознаменовавшая  (157)
    - 18:26 Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4 (13)


      Закладки на сайте
      Проследить за страницей
    Created 1996-2015 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList
    п╡п╣я│п╣п╩я▀п╣ п╨п╟я─я┌п╦п╫п╨п╦ я─п╟п╥п╡п╩п╣п╨п╟я┌п╣п╩я▄п╫я▀п╣ пЁп╦я└п╨п╦ п╦п╫я┌я─п╣я│п╫я▀п╣ я└п╟п╨я┌я▀ я│п╪п╣я┬п╫я▀п╣ п╡п╦п╢п╣п╬ я│п╪п╣я┬п╫я▀п╣ п╦я│я┌п╬я─п╦п╦ п╦п╥ я│п╬я├я│п╣я┌п╣п╧