forum.opennet.ru

Составление сообщения

Исходное сообщение

"Сертификат удостоверяющего центра был использован для перехв..."
Отправлено opennews, 24-Мрт-15 19:02

Компания Google сообщила (http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-... о выявлении в сети обманного TLS-сертификата, используемого в прокси-сервере для установки не вызывающих подозрений защищённых соединений с любыми серверами в сети. В том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google.

В ходе разбирательства выяснилось, что китайский удостоверяющий центр CNNIC (China Internet Network Information Center) передал холдингу MCS промежуточный (https://en.wikipedia.org/wiki/Intermediate_certificate_autho... (вторичный) корневой сертификат, на условии его использования только для доменов,  зарегистрированных данной компанией. Нарушив все правила обращения с корневыми сертификатами, закрытый ключ не был изначально помещён в HSM (Hardware Security Module), а установлен в MITM-прокси, осуществляющем перехват защищённых соединений с целью контроля за работой сотрудников корпорации.

По сути прокси сервер был наделён полномочиями полноценного удостоверяющего центра, на лету генерирующего необходимые для любых доменов корректные сертификаты. Подобные сертификаты не  вызывали подозрений во всех операционных системах и браузерах, так как сертификат CNNIC был занесён в список заслуживающих доверие корневых сертификатов. Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней, так как CNNIC делегировал свои полномочия сторонней организации, не имеющей право на обращение с подобными сертификатами. Сам вторичный корневой сертификат был помечен как тестовый и выписан на две недели.

Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации  может привести к коллапсу всей системы. Средства защиты от подобных манипуляций, например методы перекрёстной сертификации или специальные расширения (http://www.opennet.me/opennews/art.shtml?num=33937) к протоколу TLS, только разрабатываются.

Chrome и Firefox позволяет отловить некорректные манипуляции с сертификатами благодаря наличию механизма Public Key Pinning, позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта (в частности, Google жестко привязывает в Chrome свои домены к определённому удостоверяющему центру). Если для установки защищённого соединения применён достоверный сертификат выписанный иным удостоверяющим центром, соединение будет отвергнуто из-за подозрения в атаке "man-in-the-middle". Для оперативного отзыва сертификатов промежуточных удостоверяющих центров в Google Chrome используется механизм CRLset. В следующем выпуске Firefox ожидается появление механизма OneCRL (https://wiki.mozilla.org/CA:RevocationPlan#OneCRL), предоставляющего похожие на CRLset средства для централизованного отзыва сертификатов.
URL: http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-...
Новость: http://www.opennet.me/opennews/art.shtml?num=41902

Исходное сообщение
"Сертификат удостоверяющего центра был использован для перехв..." Отправлено opennews, 24-Мрт-15 19:02
Компания Google сообщила (http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-... о выявлении в сети обманного TLS-сертификата, используемого в прокси-сервере для установки не вызывающих подозрений защищённых соединений с любыми серверами в сети. В том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google. В ходе разбирательства выяснилось, что китайский удостоверяющий центр CNNIC (China Internet Network Information Center) передал холдингу MCS промежуточный (https://en.wikipedia.org/wiki/Intermediate_certificate_autho... (вторичный) корневой сертификат, на условии его использования только для доменов, зарегистрированных данной компанией. Нарушив все правила обращения с корневыми сертификатами, закрытый ключ не был изначально помещён в HSM (Hardware Security Module), а установлен в MITM-прокси, осуществляющем перехват защищённых соединений с целью контроля за работой сотрудников корпорации. По сути прокси сервер был наделён полномочиями полноценного удостоверяющего центра, на лету генерирующего необходимые для любых доменов корректные сертификаты. Подобные сертификаты не вызывали подозрений во всех операционных системах и браузерах, так как сертификат CNNIC был занесён в список заслуживающих доверие корневых сертификатов. Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим доверие к ней, так как CNNIC делегировал свои полномочия сторонней организации, не имеющей право на обращение с подобными сертификатами. Сам вторичный корневой сертификат был помечен как тестовый и выписан на две недели. Напомним, что компрометация любого из существующих удостоверяющих центров может привести к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка корневого сертификата у одного из центров сертификации может привести к коллапсу всей системы. Средства защиты от подобных манипуляций, например методы перекрёстной сертификации или специальные расширения (http://www.opennet.me/opennews/art.shtml?num=33937) к протоколу TLS, только разрабатываются. Chrome и Firefox позволяет отловить некорректные манипуляции с сертификатами благодаря наличию механизма Public Key Pinning, позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта (в частности, Google жестко привязывает в Chrome свои домены к определённому удостоверяющему центру). Если для установки защищённого соединения применён достоверный сертификат выписанный иным удостоверяющим центром, соединение будет отвергнуто из-за подозрения в атаке "man-in-the-middle". Для оперативного отзыва сертификатов промежуточных удостоверяющих центров в Google Chrome используется механизм CRLset. В следующем выпуске Firefox ожидается появление механизма OneCRL (https://wiki.mozilla.org/CA:RevocationPlan#OneCRL), предоставляющего похожие на CRLset средства для централизованного отзыва сертификатов. URL: http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-... Новость: http://www.opennet.me/opennews/art.shtml?num=41902

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Google сообщила (http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-digital-certificate-security.html) 
> о выявлении в сети обманного TLS-сертификата, используемого в прокси-сервере для установки 
> не вызывающих подозрений защищённых соединений с любыми серверами в сети. В 
> том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google.

> В ходе разбирательства выяснилось, что китайский удостоверяющий центр CNNIC (China Internet 
> Network Information Center) передал холдингу MCS промежуточный (https://en.wikipedia.org/wiki/Intermediate_certificate_authorities) 
> (вторичный) корневой сертификат, на условии его использования только для доменов,  
> зарегистрированных данной компанией. Нарушив все правила обращения с корневыми сертификатами, 
> закрытый ключ не был изначально помещён в HSM (Hardware Security Module), 
> а установлен в MITM-прокси, осуществляющем перехват защищённых соединений с целью контроля 
> за работой сотрудников корпорации.

> По сути прокси сервер был наделён полномочиями полноценного удостоверяющего центра, на 
> лету генерирующего необходимые для любых доменов корректные сертификаты. Подобные сертификаты 
> не  вызывали подозрений во всех операционных системах и браузерах, так 
> как сертификат CNNIC был занесён в список заслуживающих доверие корневых сертификатов. 
> Инцидент является серьёзным ударом по всей инфраструктуре удостоверяющих центров, подрывающим 
> доверие к ней, так как CNNIC делегировал свои полномочия сторонней организации, 
> не имеющей право на обращение с подобными сертификатами. Сам вторичный корневой 
> сертификат был помечен как тестовый и выписан на две недели.

> Напомним, что компрометация любого из существующих удостоверяющих центров может привести 
> к возможности сгенерировать рабочий сертификат для любого сайта в сети, независимо 
> от того каким центром сертификации выдан оригинальный SSL-сертификат. При каждом HTTPS/TLS-сеансе 
> пользователь изначально доверяет всем имеющимся центрам сертификации, поэтому утечка 
> корневого сертификата у одного из центров сертификации  может привести к 
> коллапсу всей системы. Средства защиты от подобных манипуляций, например методы перекрёстной 
> сертификации или специальные расширения (http://www.opennet.me/opennews/art.shtml?num=33937) 
> к протоколу TLS, только разрабатываются.

> Chrome и Firefox позволяет отловить некорректные манипуляции с сертификатами благодаря 
> наличию механизма Public Key Pinning, позволяющего явно определить сертификаты каких удостоверяющих 
> центров допустимо использовать для заданного сайта (в частности, Google жестко привязывает 
> в Chrome свои домены к определённому удостоверяющему центру). Если для установки 
> защищённого соединения применён достоверный сертификат выписанный иным удостоверяющим 
> центром, соединение будет отвергнуто из-за подозрения в атаке "man-in-the-middle". Для 
> оперативного отзыва сертификатов промежуточных удостоверяющих центров в Google Chrome 
> используется механизм CRLset. В следующем выпуске Firefox ожидается появление механизма 
> OneCRL (https://wiki.mozilla.org/CA:RevocationPlan#OneCRL), предоставляющего похожие 
> на CRLset средства для централизованного отзыва сертификатов.

> URL: http://googleonlinesecurity.blogspot.ru/2015/03/maintaining-digital-certificate-security.html 
 
> Новость: http://www.opennet.me/opennews/art.shtml?num=41902

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру