0
Kämpande TLS-certifikat leverantör Symantec har drabbats av säkerhet forskare Hanno Böck felaktigt återkalla certifikat baserat på förfalskade privata nycklar.
Enligt ett blogginlägg skrivet av Böck registrerade han ett par domäner, fick gratis TLS-certifikat från Symantec och Comodo, och skapat en uppsättning av falska privata nycklar som laddas upp till Pastebin för varje domän som du vill skicka till lämplig certifikat leverantören, tillsammans med en begäran om att återkalla certifikat, eftersom det med sin privata nyckel var synlig.
Böck begravde sin falska nycklar bland en lista av äkta synlig privata nycklar, och fann samtidigt som Comodo inte återkalla sitt certifikat, Symantec informerade honom om att de hade återkallas hela listan.
“Ingen skada skedde här, på grund av att certifikatet utfärdades för min egen test-domän. Men jag kunde har också falska privata nycklar av andra människors certifikat. Mycket troligt Symantec skulle ha upphävt dem, som orsakar driftstopp för dessa platser,” Böck skrev. “Jag kunde även har lätt skapas en falsk nyckel som hör till Symantecs egen intyg.”
Säkerhet forskaren sade att under dess återkallelse process, Symantec aldrig berättat för honom varför hans bluff certifikat som återkallats och även efter att han berättat för Symantec hans falska nyckeln var felaktig, intyg förblev återkallas.
“Symantec gjorde ett stort misstag genom att återkalla ett certifikat som baseras på helt förfalskat bevis,” sade han. “Det finns knappast någon ursäkt för detta och det visar att de driver en certifikatutfärdare utan en riktig förståelse av den kryptografiska bakgrund.”
Vid denna tid, Symantec är brottning med Google och Mozilla över hur Chrome och Firefox kommer att minska deras förtroende för Symantec-utfärdade certifikat.
När de ursprungligen föreslagna i Mars, Google ingenjör Ryan Sleevi sagt att efter en “serie misslyckanden” av Symantec, Google anser att dess användare möter betydande risk.
“Under loppet av denna undersökning, de förklaringar som tillhandahålls av Symantec har avslöjat en ständigt ökande omfattningen av misissuance med varje uppsättning av frågor från ledamöter av Google Chrome-teamet, en första uppsättning av uppgift 127 certifikat har utvidgats till att omfatta minst 30 000 certifikat, som utfärdats över en period som sträcker sig över flera år,” Sleevi sagt.
“Symantec tillåtna minst fyra partier tillträde till sin infrastruktur på ett sätt att orsaka utfärdande av certifikat, inte i tillräcklig utsträckning övervaka dessa resurser som krävs och förväntas, och när du presenteras med bevis för att dessa organisationer inte följa med lämplig standard i vården, underlåtit att lämna sådan information i god tid, eller för att identifiera betydelsen av de frågor som rapporteras till dem.”
I svar på Symantec lovade en revision-fest som skulle leda till en större öppenhet.
Denna vecka, Symantec kallas för datum misstro i dess certifikat har utfärdats före juni 2016 till och med den flyttas från den 31 augusti deadline till den 1 Maj 2018.
Symantec är inte den enda utfärdaren i varmt vatten med Google, som sökandet jätten sa användare av StartCom eller WoSign utfärdade certifikat ska ersätta sina certifikat “som ett brådskande ärende”.
När Chrome 61 landar i mitten av September, webbläsaren kommer att ha fullständig misstro mot WoSign och StartCom root-certifikat och alla intyg som har utfärdats av dem.
I augusti förra året, WoSign fångades utfärdar falska HTTPS certifikat för GitHub domäner.
Mozilla publicerat en omfattande lista över problem med WoSign, som ingår incidenter av antedatering certifikat för att undvika webbläsare blockerar certifikat med hjälp av det föråldrade SHA-1 algoritm, och att förneka sina inköp av StartCom.
“För både CAs, har vi dragit slutsatsen att det finns ett mönster av frågor och händelser som indikerar ett förhållningssätt till säkerhet som inte är i överensstämmelse med det ansvar en allmänt betrodd CA,” Andrew Whalley av Chrome Security sa i November.
Mer säkerhet nyheter
Ryska mannen som hjälpte till att bygga Citadel skadlig dömdes till 5 år
Justitiedepartementet, Europol tout AlphaBay takedown, men ‘medvetna’ utmaningar kvarstår
Hackare använder hotel Wi-Fi för att spionera på gäster, stjäla data
Tor-nätverket kommer att betala dig att hacka igenom det nya bug bounty program
0