0
Assiégé TLS fournisseur de certificats Symantec a été attrapé par le chercheur en sécurité Hanno Böck incorrecte de la révocation des certificats sur la base forgé clés privées.
Selon un billet de blog écrit par Böck, il a enregistré une paire de domaines, reçu gratuitement des certificats TLS à partir de Symantec et Comodo, et a créé un ensemble de fausses clés privées téléchargés sur Pastebin pour chaque domaine d’envoyer le certificat approprié fournisseur, avec une demande en vue de révoquer le certificat parce que sa clé privée a été publiquement.
Böck enterré son faux clés parmi une liste de véritable accessible au public des clés privées et trouvé lors de Comodo n’a pas la révocation de son certificat, Symantec a informé qu’ils avaient annulé la totalité de la liste.
“Aucun mal n’a été fait ici, parce que le certificat a été délivré uniquement pour mon propre domaine de test. Mais j’aurais pu aussi faux clés privées des autres peuples de certificats. Très probablement Symantec aurait révoqué eux, causant des arrêts de ces sites,” Böck écrit. “J’ai même pu l’ai créé facilement une fausse clé appartenant à Symantec propre certificat.”
Le chercheur en sécurité, a déclaré qu’au cours de son processus de révocation, Symantec ne lui a jamais dit pourquoi sa pièce de théâtre certificat a été révoquée, et même après qu’il a dit Symantec son imitation de clé est défectueuse, le certificat demeure abrogé.
“Symantec a fait une gaffe majeure par la révocation d’un certificat basé sur complètement forgé la preuve, dit-il. “Il n’y a pratiquement aucune excuse pour cela et il indique qu’ils opèrent un certificat d’autorité sans une bonne compréhension de la cryptographie arrière-plan.”
À l’heure actuelle, Symantec est la lutte avec Google et Mozilla, sur la façon dont les navigateurs Chrome et Firefox permettra de réduire leur confiance dans les produits Symantec-les certificats émis.
Quand initialement proposé en Mars, ingénieur Google Ryan Sleevi dit qu’à la suite d’une “série d’échecs” par Symantec, Google estime que ses utilisateurs s’exposent à des risques importants.
“Au cours de cette enquête, les explications fournies par Symantec ont révélé une augmentation continue de la portée de misissuance avec chaque ensemble de questions posées par les membres de l’équipe Google Chrome; un premier ensemble de aurait 127 certificats a été élargi pour inclure au moins 30 000 certificats émis au cours d’une période couvrant plusieurs années,” Sleevi dit.
“Symantec droit à au moins quatre parties de l’accès aux infrastructures de manière à causer de la délivrance du certificat, n’a pas suffisamment de superviser ces capacités nécessaires et attendus, et lorsqu’ils sont présentés avec des preuves de ces organisations le défaut de se conformer à la norme de diligence appropriée, il a omis de divulguer de telles informations en temps opportun, ou pour identifier l’importance des questions qui lui sont signalés.”
En réponse, Symantec a promis un audit-fest qui assurerait une plus grande transparence.
Cette semaine, Symantec a appelé à la date de la méfiance à l’égard de ses certificats délivrés avant le mois de juin 2016 à être déplacé à partir du 31 août au 1er Mai 2018.
Symantec n’est pas le seul émetteur du certificat dans l’eau chaude avec Google, le géant de la recherche, a déclaré aux utilisateurs de StartCom ou WoSign certificats émis devraient remplacer leurs certificats “de toute urgence”.
Lorsque google Chrome 61 terres à la mi-septembre, le navigateur aura une totale méfiance à l’égard de la WoSign et StartCom certificats racine et tous les certificats émis hors d’eux.
En août de l’année dernière, WoSign a pris la délivrance de faux certificats HTTPS pour GitHub domaines.
Mozilla a publié une vaste liste de questions avec WoSign, qui comprenait des incidents de l’antidatage des certificats d’éviter les navigateurs les certificats de blocage à l’aide de l’ancienne algorithme SHA-1, et de nier son achat de StartCom.
“Pour les deux CAs, nous avons conclu qu’il n’existe un motif de problèmes et d’incidents qui indique une approche de la sécurité qui n’est pas en concordance avec les responsabilités d’un public autorité de certification de confiance,” Andrew Whalley de Chrome de Sécurité, a déclaré en novembre.
Plus de nouvelles de sécurité
Cryptage: Dans la bataille entre les mathématiques et la politique, il n’y a qu’un seul gagnant
Symantec trompés en retrait de la pièce de théâtre de certificats par le chercheur en sécurité
BlackBerry peut vendre des outils de chiffrement du gouvernement AMÉRICAIN après approbation de la NSA
La mobilité d’entreprise: BYOD, EMM, et de nouvelles approches de sécurité
0