Это вы не понимаете. Или прикидываетесь, что не понимаете. На предоплаченную кредитку из Стамбула, которую нельзя проверить, сразу следует отказ в выдаче сертификата. Это red flag.
Они молодцы. Но, улучшив безопасность в одном месте, где изначально не было безопасности (HTTP), они создали по сути новый вектор атаки в том месте, где безопасность, как бы, предполагается (https).
По-моему, так себе, размен.
Я согласен, что это общая проблема индустрии. Уже давно везде, где требуется хоть какая-то безопасность, требуется двух-факторная аутентификация. И, одного пароля, передаваемого по защищенному соединению, не достаточно.
А, тут, у нас, по сути, выдача сертификата на основе "пароля"-файла, который еще и по незащищенному соединению проверяется, возведен в стандарт индустрии.
1 цент или 20 долларов - не важно. Но, если кредитка есть, то на ней есть имя, которое можно, как минимум, сверить с информацией во WHOIS и т.п. и, возможно, проверить по другим каналам.
Domain Validation (DV) или проверка на уровне домена требует только подтверждения права владения адресом, для которого нужен сертификат. В данном случае центр удостоверяет связь доменного имени с сервером и сайтом. Это гарантирует пользователю, что он попал именно на тот домен, на который заходил. Информация кодируется, но сведения о владельце сертификата не указаны.
Если бы доступ к диску системы был получен и использован, то, тогда letsencrypt был бы не виноват. Это единственное, что бы изменилось)
А, т.к. доступ к диску не был получен, и, не использовался при атаке, то сертификат был выдан неправомерно. И Letsencrypt виноват) просто по факту того, что провайдер предпочел не использовать доступ к диску, и намерено сделать letsencrypt виноватым. ОК?
Неа.. весь смысл центров сертификации как раз в том, чтобы удостоверять владельца сайта. Если они выдали сертификат "коню в пально", это их проблема. CAA и DNSSEC нужны чтобы защитить владельца домена от последствий недобросовестных действий со стороны "доверенных" центров сертификации.
Это не дает letsencrypt права совершать эти недобросовестные действия.
Это вектор атаки не специфичный для jabber.ru. Он специфичный для letsencrypt!
Поздно пить боржоми, как говорят. CT придуман для определения "нечестной игры" и решения "проблем доверия" к центрам сертификации. Наличие там сертификатов показывает системную проблему с доверием к letsencrypt как к центру сертификации.
В итоге имеем, что letsencrypt превратился в инструмент для mitm любого домена у которого не настроен CAA и DNSSEC.
И проблема тут не техническая, в том, что они как доверенный центр сертификации выдают сертификаты "коням в пальто" без достаточной проверки.
У меня чешутся руки просто добавить этот "центр сертификации" в черный список браузера, как минимум.
Мне думается, что, во-избежании подобного, letsencrypt ДОЛЖЕН прекратить выдавать сертификаты тем, у кого DNSSEC и CAA не настроены. Совсем прекратить.
Когда сервер letsencrypt этот файлик запрашивает по http любой, кто может сделать mitm между сервером letsencrypt и вашим сервером может скормить letsencrypt-у нужный файлик даже если его нет, и, никогда не было на вашем сервере.
Это уже проблема банка, который их выдает, будет. А не УЦ.
Это вы не понимаете. Или прикидываетесь, что не понимаете. На предоплаченную кредитку из Стамбула, которую нельзя проверить, сразу следует отказ в выдаче сертификата. Это red flag.
Они молодцы. Но, улучшив безопасность в одном месте, где изначально не было безопасности (HTTP), они создали по сути новый вектор атаки в том месте, где безопасность, как бы, предполагается (https).
По-моему, так себе, размен.
Я согласен, что это общая проблема индустрии. Уже давно везде, где требуется хоть какая-то безопасность, требуется двух-факторная аутентификация. И, одного пароля, передаваемого по защищенному соединению, не достаточно.
А, тут, у нас, по сути, выдача сертификата на основе "пароля"-файла, который еще и по незащищенному соединению проверяется, возведен в стандарт индустрии.
Надо что-то менять.
Источник:
https://ru.wikipedia.org/wiki/SSL#Типы_SSL-сертификатов
1 цент или 20 долларов - не важно. Но, если кредитка есть, то на ней есть имя, которое можно, как минимум, сверить с информацией во WHOIS и т.п. и, возможно, проверить по другим каналам.
Это при условии, что DNS не будет заMitM лен аналогично. У нас, кстати, есть инструмент аналогичный CT для dnssec?
Domain Validation (DV) или проверка на уровне домена требует
только подтверждения права владения адресом, для которого нужен
сертификат. В данном случае центр удостоверяет связь доменного имени с
сервером и сайтом. Это гарантирует пользователю, что он попал именно на
тот домен, на который заходил. Информация кодируется, но сведения о
владельце сертификата не указаны.
Не надо сочинять и проводить аналогии) Факт неправомерной выдачи сертификата никуда от этого не денется.
Любой другой УЦ который использует уязвимые протоколы установления наличия доступа к домену. Они могут отличаться у других провайдеров.
То есть, любой провайдер, который проверяет данные кредитки и берет деньги за свои услуги, скорее всего гораздо менее для этого уязвим.
Не ОК, потому что, до тех пор, пока старый способ получения не заблокируют, "конь в пальто" все равно, вероятно, сможет получить сертификат.
Но, благодаря настроенным DNSSEC и CAA он его, возможно, не сможет использовать по назначению.
Если бы доступ к диску системы был получен и использован, то, тогда letsencrypt был бы не виноват. Это единственное, что бы изменилось)
А, т.к. доступ к диску не был получен, и, не использовался при атаке, то сертификат был выдан неправомерно. И Letsencrypt виноват) просто по факту того, что провайдер предпочел не использовать доступ к диску, и намерено сделать letsencrypt виноватым. ОК?
Ну, типа все ОК. Все ОК.) К вашему домену имеет доступ кто угодно. Мы подтверждаем) И сертифицируем)
Хотя на самом деле доступа к домену нет) Есть доступ к трафику в сторону этого домена. А он, в некотором объеме, у любого провайдера есть.
Неа.. весь смысл центров сертификации как раз в том, чтобы удостоверять владельца сайта. Если они выдали сертификат "коню в пально", это их проблема. CAA и DNSSEC нужны чтобы защитить владельца домена от последствий недобросовестных действий со стороны "доверенных" центров сертификации.
Это не дает letsencrypt права совершать эти недобросовестные действия.
Это вектор атаки не специфичный для jabber.ru. Он специфичный для letsencrypt!
Поздно пить боржоми, как говорят. CT придуман для определения "нечестной игры" и решения "проблем доверия" к центрам сертификации. Наличие там сертификатов показывает системную проблему с доверием к letsencrypt как к центру сертификации.
В итоге имеем, что letsencrypt превратился в инструмент для mitm любого домена у которого не настроен CAA и DNSSEC.
И проблема тут не техническая, в том, что они как доверенный центр сертификации выдают сертификаты "коням в пальто" без достаточной проверки.
У меня чешутся руки просто добавить этот "центр сертификации" в черный список браузера, как минимум.
Мне думается, что, во-избежании подобного, letsencrypt ДОЛЖЕН прекратить выдавать сертификаты тем, у кого DNSSEC и CAA не настроены. Совсем прекратить.
А, если сайт уже использует letsencrypt? Что в CAA прописать?
P.S. Там выше ответили в ветке.
CAA скорее всего не поможет, тем, у кого он настроен на letsencrypt.
<cut> был неправ)
Когда сервер letsencrypt этот файлик запрашивает по http любой, кто может сделать mitm между сервером letsencrypt и вашим сервером может скормить letsencrypt-у нужный файлик даже если его нет, и, никогда не было на вашем сервере.
Совершенно верно. Любой провайдер который способен перехватывать трафик от вас до сервера letsencrypt.