Comments 49
UFO just landed and posted this here
Тащемта вся суть центров сертификации к тому и сводилась, что при первом фэйле их дожны расточить как того деревянного бегемота с демотиватора о дропнутой базе. Только это на словах так, а на деле я не припоминаю ни одной крупной выплаты и показательной порки.
Теперь нужен сервис, который бы собирал информацию об издателях сертификатов всея интернета и плагин к броузеру, который бы проверял через такие сервисы не сменился-ли случайно у сертификата издатель. Хоть какая-то надежда отловить mim при валидности рутовых сертификатов.
Теперь нужен сервис, который бы собирал информацию об издателях сертификатов всея интернета и плагин к броузеру, который бы проверял через такие сервисы не сменился-ли случайно у сертификата издатель. Хоть какая-то надежда отловить mim при валидности рутовых сертификатов.
Я дико извиняюсь, но очень прошу ссылку на «того деревянного бегемота с демотиватора о дропнутой базе. », все перерыл, так и не нашел, теперь заснуть спокойно не смогу пока не увижу. :(
Вот этот, наверное habrastorage.org/storage1/b8ef9be1/67c1e381/2ca10012/0cdd913b.jpg
Кстати гугль выдает эту картинку первой по запросу «демотиватор дропнул базу» ;)
Есть Extended Validation, но цены на них ломят очень серьёзные.
EV это норма и цены не большие на них. То что сейчас начали выдавать сертификаты чисто на доменные, валидируя только почтовый ящик владельца домена, это ерунда, им особого доверия нет. EV требует проверить личность влядельца, т.е. когда вы отправляете данные Вы знаете КОМУ отправили, а всякие Thawte 123 позволят лишь уедиться что вы отправляете их туда куда хотели, но при этом КОМУ вы знать не знаете.
Идея сертификаторов заключается в том, что они должны отвечать рулем если профейлили с валидацией, как следствие высокие цены на те сертификаты где процесс валидации сложнее и ответственность выше.
Использование EV никак не влияет на возможность незаметного mim если у «слушателя» есть ключи на доверенноые корневые сертификаты. Он просто выпишет себе сертификат на те же параметры, но подпишет его своим ключиком. И в итоге на CN=paypal.com будет два валидных сертификата, один от VeriSign, оригинальный, второй от Trustwave.EvilCloneAndCo, и ваш броузер будет верить им обоим, т.к. он верит всему что выдано VeriSign и Trustwave.EvilCloneAndCo как довереноому лицу Trustwave.
Единственый способ отловить такую атаку это заранее знать кем был подписан оригнальный сертификат и при соединении проверить, не отличается ли издатель используемого сертификата. Если отличается — повод бить тревогу, обращаться в сапорт/СБ атакуемого и сообщать о своих подозрениях. Но это будет работать только в том случае если у злоумышленника ключики не от того-же издателя.
Идея сертификаторов заключается в том, что они должны отвечать рулем если профейлили с валидацией, как следствие высокие цены на те сертификаты где процесс валидации сложнее и ответственность выше.
Использование EV никак не влияет на возможность незаметного mim если у «слушателя» есть ключи на доверенноые корневые сертификаты. Он просто выпишет себе сертификат на те же параметры, но подпишет его своим ключиком. И в итоге на CN=paypal.com будет два валидных сертификата, один от VeriSign, оригинальный, второй от Trustwave.EvilCloneAndCo, и ваш броузер будет верить им обоим, т.к. он верит всему что выдано VeriSign и Trustwave.EvilCloneAndCo как довереноому лицу Trustwave.
Единственый способ отловить такую атаку это заранее знать кем был подписан оригнальный сертификат и при соединении проверить, не отличается ли издатель используемого сертификата. Если отличается — повод бить тревогу, обращаться в сапорт/СБ атакуемого и сообщать о своих подозрениях. Но это будет работать только в том случае если у злоумышленника ключики не от того-же издателя.
Штрафы платят владельцу сертификата при его подделке по вине ЦС. Например, для сертификата с EV от thawte сумма составляет $750k.
Раньше, однако, до 2M доходило. Демпинг на этом рынке заставляет снижать цены, а значит и пытаться скостить суммы штрафов до тех размеров которые позволяют существующие цены. У некоторых контор размеры ответствености вооще до смешных 20K опущены (на недорогих сертификатах, но и EV, емнип, в 100K укладывается).
И да, денежку должен получить вледелец, но вы слышали о таких выплатах? Я нет. Либо заминают, либо раньше таких проблем не возникало. А теперь каждый владелец сертификатов от Trustwave становится потенциальным получатель выплат по этим штрафам. Нужно только найти валидную копию своего сертификата подписанную их «левым» рутом ;)
И да, денежку должен получить вледелец, но вы слышали о таких выплатах? Я нет. Либо заминают, либо раньше таких проблем не возникало. А теперь каждый владелец сертификатов от Trustwave становится потенциальным получатель выплат по этим штрафам. Нужно только найти валидную копию своего сертификата подписанную их «левым» рутом ;)
У меня всегда возникал вопрос почему сертификаты продают?
Почему бы не организовать независимую организацию, которая будет эти сертификаты выдавать на бесплатной основе?
Почему бы не организовать независимую организацию, которая будет эти сертификаты выдавать на бесплатной основе?
Основная проблема в том что без денег в хранилища сертификатов закрытых ОС попасть довольно сложно.
А без этого вашему корню никто доверять не будет.
А без этого вашему корню никто доверять не будет.
GPG Web of trust?
Это я к тому, что в модели защиты не обязательно должен быть корень. Высокую вероятность достоверности можно получить за счёт распределённых графовых моделей доверия.
Т.е. еще один велосипед вместо SSL.
Microsoft обязательно поддержит. LOL
Microsoft обязательно поддержит. LOL
Исторически, это как раз SSL велосипед по отношению к PGP, GPL-ной реализацией которой является GPG. Microsoft вряд ли поддержит, из-за своей любви монополизировать (впрочем, это все любят делать в бизнесе), они уже вон при помощи централизованной сертификации хотят лочить компьютеры под Windows. Собственно, отчасти именно поэтому и появлись TLS и SSL с центрами сертификации — «шоб не было тут никакого неподконтрольного массового волеизъявления».
«Высокая вероятность достоверности» это приблизительно как фанерная калитка в пяти метровом заборе с колючей проволокой.
А кто будет оплачивать банкет?
Поздравляю, вы изобрели startcom, которые давно выдают бесплатные сертификаты.
Их бесплатные сертификаты — не именные. Так, завлекалочка. Хотя и нормальные сертификаты у них стоят очень вменяемые деньги.
В смысле? Меня сертификаты интересуют только и исключительно с позиции «шобы не вопило» (я про авторизацию в браузере). Безопасность в более важных случаях я обычно делаю с помощью ssh/ssltunel с контролируемыми сертификатами.
Ну «чтоб не вопило», тогда конечно сойдет :). Но у любого мало-мальски приличного сервера желательно, чтобы атрибуты сертификата совпадали с атрибутами юридического лица. У старкомовцев бесплатные сертификаты выписаны на имя старкома же, с альтернативным именем, несущим смысл: «бесплатное, нонейм, чуваки зажали денег на платный сертификат». Общие гайдлайнс запрещают им выдавать сертификаты лицам, не прошедшим валидацию.
Тут главный вопрос, что за компания, которой был выдан сертификат. Если это дочерний специализированный УЦ (нишевой), то, ИМХО, ничего страшного не произошло.
В свете фразы про «обычную практику» очень вряд ли.
для анализа SSL-трафика внутренней сети компании
Скорее какая-то компания, специализирующаяся на ИБ. Если правильно понял чья внутренняя сеть.
Скорее какая-то компания, специализирующаяся на ИБ. Если правильно понял чья внутренняя сеть.
UFO just landed and posted this here
Если мы признаём Trustwave заслуживающей доверия компанией, а мы признаём, то почему надо сомневаться в том, что она выдаст незаслуживающей доверия сертификат? Проблема не в том, что выдан сертификат компании, которая может делать анализ трафика — Trustwave давно может себе выдавать сертификаты и анализировать что угодно, только без скандала. Проблема в самой организации раздачи сертификатов, когда сотни компаний имеют такое право и их никто не контролирует. Действительно получается, что они продают воздух.
Дело в том, что корневым сертификатам Trustwave доверяют браузеры. Теперь получается, что браузеры доверяют и сертификатам, выдаваемой какой-то левой фирмой (через цепочку доверия).
Эта фирма, которой Trustwave выдала сертификат, ничуть не левее самой Trustwave. Ну доверила, скажем, Мозилла Trustwave, право выдавать сертификаты. А с какого перепугу, спрашивается? За деньги и доверила. То есть то, что сделала Мозилла, это законно, а точно такое же действие Trustwave незаконно? Порочна вся система.
Если у организации есть деньги, чтобы отбашлять Mozilla для включения в доверенные, то это уже хоть какая-то причина доверять этой организации.
Деньги, знаете ли, внушают доверие.
Деньги, знаете ли, внушают доверие.
Ничего себе причина доверять :)
PS
>Дело в том, что корневым сертификатам Trustwave доверяют браузеры. Теперь получается, что браузеры
>доверяют и сертификатам, выдаваемой какой-то левой фирмой (через цепочку доверия).
И какое отношение к этому инциденту имеют браузеры? Вы же, надеюсь, не только этот топик прочитали, но и оригинальную информацию не пропустили? Инцидент то совершенно не так выглядит как тут представили.
PS
>Дело в том, что корневым сертификатам Trustwave доверяют браузеры. Теперь получается, что браузеры
>доверяют и сертификатам, выдаваемой какой-то левой фирмой (через цепочку доверия).
И какое отношение к этому инциденту имеют браузеры? Вы же, надеюсь, не только этот топик прочитали, но и оригинальную информацию не пропустили? Инцидент то совершенно не так выглядит как тут представили.
По-хорошему, следует всегда «вычищать» доверенные корневые сертификаты из системных и браузерных хранилищ. А то бывали уже прецеденты, что FireFox доверял хз кому.
Контролировать свою корпоративную сеть можно поместив свой собственный корневой сертификат на все компьютеры компании. Меня терзают смутные сомнения, в описанном в статье случае с DLP можно было обойтись без услуг Trustwave.
Админы корпорации решили сделать удобнее своим пользователям, чтобы тем не пришлось устанавливать корневой сертификат
Что мешало им выпустить свой внутренний корневой сертификат и подписать его основным сертификатом, непонятно.
Маловероятно. Корневые сертификаты устанавливаются автоматически доменной политикой. А крупная компания без домена — это, мягко говоря, странно.
В домене — да. Но есть еще удаленный доступ, когда машина не находится в домене и к ней не применяется доменная политика. При этом и у админа меньше возможностей к ней дотянуться.
Конечно, удаленные сервисы можно закрывать не своим сертификатом «SSL-сервер», а купить у того же Trustwave серверный SSL-сертификат с CN = *.имя домена. Тогда все будет проходить прозрачно для пользователя. Но если у конторы два домена?
В общем, если бы я был админом КРУПНОЙ корпорации и была бы возможность купить корневой сертификат у крупного УЦ — я бы купил.
Ну и все-таки можно представить себе крупную сеть с UNIX-серверами, гетерогенными клиентами и авторизацией об LDAP.
Конечно, удаленные сервисы можно закрывать не своим сертификатом «SSL-сервер», а купить у того же Trustwave серверный SSL-сертификат с CN = *.имя домена. Тогда все будет проходить прозрачно для пользователя. Но если у конторы два домена?
В общем, если бы я был админом КРУПНОЙ корпорации и была бы возможность купить корневой сертификат у крупного УЦ — я бы купил.
Ну и все-таки можно представить себе крупную сеть с UNIX-серверами, гетерогенными клиентами и авторизацией об LDAP.
Вот-вот. Как то вся эта история нехорошо пахнет — отмазочка какая то левая получается…
Ни в Opera, ни в MSIE никакого Trustwave среди доверенных нет. Думаю что от выноса его из списка доверенных в Firefox хуже не станет.
Хм. Зайдите Оперой или MSIE на ssl.trustwave.com и убедитесь что
а) сертификат вполне себе в доверенных
б) он называется SecureTrust CA :)
а) сертификат вполне себе в доверенных
б) он называется SecureTrust CA :)
Аналогично.
Незнаю как у кого — у меня остатки доверия к существующей SSL инстраструктуре улетучились мгновенно…
Незнаю как у кого — у меня остатки доверия к существующей SSL инстраструктуре улетучились мгновенно…
Sign up to leave a comment.
Trustwave признает выдачу корневого сертификата сторонней компании