Symantec dazu verleitet, zu entfernen legit Zertifikate von security researcher

0
160

0

Umkämpfte TLS-Zertifikat-Anbieter Symantec wurde gefangen von der security-Forscher Hanno Böck falsch Widerruf von Zertifikaten basierend auf gefälschten, privaten Schlüssel.

Laut einem blog-post geschrieben von Böck, er registriert ein paar domains, erhielten Kostenlose TLS-Zertifikate von Symantec und Comodo, und erzeugt eine Reihe von gefälschten private Schlüssel hochgeladen Pastebin für jede Domäne zu senden, um die entsprechende Zertifikat-Anbieter, zusammen mit einem Antrag auf Widerruf der Bescheinigung, da seine privaten Schlüssel öffentlich sichtbar ist.

Böck begraben seine gefälschte Schlüssel in die Liste der echten öffentlich einsehbaren privaten Schlüssel und gefunden, während Comodo nicht widerrufen Sie Ihr Zertifikat von Symantec teilte ihm mit, Sie hätten widerrufen die gesamte Liste.

“Kein Schaden getan wurde hier, weil das Zertifikat nur ausgestellt werden, für meine eigenen test-domain. Aber ich habe auch gefälschte privaten Schlüssel der anderen Völker Zertifikate. Sehr wahrscheinlich, Symantec würde widerrufen haben, Sie als gut, wodurch Ausfallzeiten für solche Seiten,” Böck schrieb. “Ich konnte sogar schon leicht erstellt ein fake-Schlüssel gehörenden Symantec ein eigenes Zertifikat.”

Der Sicherheitsexperte sagte, dass während der Widerrufs Prozess, Symantec ihm nie gesagt, warum seine legit-Zertifikat wurde widerrufen, und sogar nachdem er gesagt, Symantec seine fake-key war fehlerhaft, das Zertifikat blieb widerrufen.

“Symantec hat einen großen Fehler durch Widerruf eines Zertifikats basiert auf völlig geschmiedet Beweise”, sagte er. “Es gibt kaum eine Entschuldigung für diese, und es zeigt, dass Sie ein “certificate authority” ohne ein richtiges Verständnis der kryptografische hintergrund.”

In der heutigen Zeit, Symantec Ringen mit Google und Mozilla, wie der Chrome-und Firefox-Browser zu reduzieren wird Ihr Vertrauen in Symantec-Zertifikaten.

Wenn ursprünglich geplant im März, Google-Ingenieur Ryan Sleevi, sagte, dass nach einer “Serie von Fehlern” von Symantec, Google glaubt, dass seine Nutzer ein erhebliches Risiko.

“Im Laufe dieser Untersuchung, die Erläuterungen von Symantec haben gezeigt, eine kontinuierlich steigende Umfang der misissuance mit jedem Satz von Fragen von Mitgliedern des Google-Chrome-team; einen ersten Satz von angeblich 127 Zertifikate hat sich mittlerweile auf mindestens 30.000 Zertifikate ausgestellt über einen Zeitraum von mehreren Jahren” Sleevi sagte.

“Symantec erlaubt zumindest vier Parteien, die Zugang zu Ihrer Infrastruktur in einer Art und Weise zu verursachen Ausstellung der Bescheinigung nicht ausreichend beaufsichtigen, diese Fähigkeiten als erforderlich und erwartet, und wenn präsentiert, mit dem Hinweis, diese Organisationen scheitern, halten Sie sich an die entsprechenden Standards der Pflege, nicht um solche Informationen in einer fristgerechten Weise, oder um die Bedeutung der Probleme gemeldet.”

In der Antwort von Symantec versprach, eine Revision-fest, dass Ergebnis wäre eine größere Transparenz.

Diese Woche, Symantec genannt, für die das Datum des Misstrauens in Ihr ausgestellten Zertifikate, die vor Juni 2016 verschoben werden, die vom August 31 Frist zum 1. Mai 2018.

Symantec ist nicht der einzige Aussteller in heißem Wasser mit Google, wie die Suche Riese sagte die Nutzer von StartCom oder WoSign-ausgestellte Zertifikate ersetzen sollten, die Ihre Zertifikate “als eine Angelegenheit von Dringlichkeit”.

Wenn Chrome 61 Ländern Mitte September, der browser wird komplette Misstrauen der WoSign und StartCom-root-Zertifikate und alle ausgestellten Zertifikate ab.

Im August letzten Jahres WoSign war gefangen ausstellenden gefälschte HTTPS-Zertifikate für die GitHub-domains.

Mozilla veröffentlicht eine umfangreiche Liste von Fragen, die mit WoSign, die Vorfälle der Rückdatierung von Zertifikaten zu vermeiden, Browser sperren von Zertifikaten über das veraltete SHA-1-Algorithmus und verweigern den Kauf von StartCom.

“Für die beiden CAs, die wir geschlossen haben, gibt es ein Muster von Themen und Vorfälle, die zeigen, ein Ansatz für die Sicherheit, die nicht in übereinstimmung mit den Aufgaben eines öffentlich Vertrauenswürdige CA,” Andrew Whalley von Chrome Security, sagte im November.

Mehr Sicherheit news

Russischen Mann, half beim Aufbau der Citadel-malware verurteilt zu 5 Jahren

Justice Department, Europol tout AlphaBay takedown, aber ‘bewusst’ Herausforderungen bleiben

Hacker sind über das hotel Wi-Fi, Spion auf die Gäste, die Daten stehlen

Tor Netzwerk bezahlen Sie, es zu hacken, durch neue bug-bounty-Programm

0