0
Strijdende TLS-certificaat provider Symantec is gevangen door security-onderzoeker Hanno Böck onjuist intrekken van certificaten op basis van vervalste private sleutels.
Volgens een blogpost geschreven door Böck, hij is geregistreerd voor een paar domeinen, ontvangen gratis TLS-certificaten van Symantec en Comodo, en creëerde een reeks van nep-private sleutels worden geüpload naar Pastebin voor elk domein te sturen naar de juiste provider certificaat, samen met een verzoek tot intrekking van het certificaat, omdat de private key is publiekelijk zichtbaar zijn.
Böck begraven zijn valse sleutels onder een lijst van echte publiekelijk toegankelijke privé-sleutels, en gevonden, terwijl Comodo niet intrekken van het certificaat, Symantec deelde hem mee dat zij had ingetrokken, wordt de hele lijst.
“Het is niet kwaad gedaan, omdat het certificaat werd uitgereikt voor mijn eigen test domein. Maar ik kon ook nep private sleutels van andere volkeren’ certificaten. Zeer waarschijnlijk Symantec zou hebben ingetrokken dan ook veroorzaakt door onderbrekingen voor die sites,” Böck schreef. “Ik heb zelfs al makkelijk gemaakt van een valse sleutel die behoren tot de Symantec-eigen certificaat.”
De security-onderzoeker zei dat tijdens de intrekking proces, Symantec nooit vertelde hem waarom zijn legit certificaat is ingetrokken, en zelfs nadat hij vertelde Symantec zijn valse sleutel defect was, wordt het certificaat bleef ingetrokken.
“Symantec heeft een grote blunder door het intrekken van een certificaat op basis van volledig gesmeed bewijs,” zei hij. “Er is nauwelijks een excuus voor dit en geeft aan dat ze werken een certificaat autoriteit zonder een goed begrip van de cryptografische achtergrond.”
In de huidige tijd, Symantec is het worstelen met Google en Mozilla over hoe de Chrome-en Firefox-browsers zal verminderen hun vertrouwen in de Symantec-certificaten afgegeven.
Wanneer het oorspronkelijke voorstel in Maart, Google engineer Ryan Sleevi zei dat na een reeks van mislukkingen” door Symantec, Google is van mening dat haar gebruikers te kampen met aanzienlijke risico.
“In de loop van dit onderzoek, met de toelichting die door Symantec blijkt dat het voortdurend toenemende omvang van misissuance met elke set van vragen van de leden van het team van Google Chrome; een eerste reeks van naar verluidt 127 certificaten is uitgebreid met ten minste 30,000 certificaten, uitgegeven over een periode van meerdere jaren,” Sleevi zei.
“Symantec een termijn van ten minste vier partijen toegang tot hun infrastructuur in een manier om de oorzaak van certificaat uitgifte, niet voldoende toezicht op deze mogelijkheden zoals gewenst en verwacht, en wanneer gepresenteerd met het bewijs van deze organisaties niet voldoen aan de standaard van zorg, mislukt zijn om deze informatie tijdig, of voor de identificatie van de betekenis van de problemen die zijn gemeld aan hen.”
In reactie, Symantec beloofd een audit-fest dat zou leiden tot een grotere transparantie.
Deze week, Symantec genoemd voor de datum van wantrouwen in de certificaten uitgegeven voor juni 2016 verplaatst worden van de 31 augustus deadline tot 1 Mei 2018.
Symantec is niet de enige uitgever van het certificaat in warm water met Google, zoals de zoekgigant zei gebruikers van StartCom of WoSign-uitgegeven certificaten moeten vervangen door hun certificaten “als een zaak van urgentie”.
Wanneer Chrome 61 landen in het midden-September, de browser heeft volledige wantrouwen van de WoSign en StartCom root certificaten alle certificaten uitgegeven op hen af.
In augustus vorig jaar, WoSign betrapt werd de afgifte van valse HTTPS-certificaten voor GitHub domeinen.
Mozilla website een uitgebreide lijst van problemen met WoSign, die opgenomen incidenten van terugwerkende kracht certificaten om te voorkomen dat browsers blokkeren van certificaten met behulp van de verouderde SHA-1 algoritme, en het ontkennen van de aankoop van StartCom.
“Voor zowel de CAs, we hebben afgesloten, er is een patroon van problemen en incidenten die wijzen op een benadering van de veiligheid, dat is niet in overeenstemming met de verantwoordelijkheden van een openbaar vertrouwde CERTIFICERINGSINSTANTIE,” Andrew Whalley van Chrome Security zei in November.
Meer nieuws over beveiliging
Russische man die hielp bij de bouw van de Citadel malware veroordeeld tot 5 jaar
Departement van justitie, Europol tout AlphaBay takedown, maar ‘goed van bewust dat de uitdagingen blijven
Hackers gebruiken het hotel Wi-Fi om te spioneren op de gasten, het stelen van gegevens
Tor netwerk betaalt u om te hacken door middel van nieuwe bug bounty ‘ programma
0