0
Kampberedt TLS-certifikat udbyder Symantec har været fanget af sikkerheds-forsker Har Böck forkert tilbagekaldelse af certifikater baseret på falske private nøgler.
Ifølge en blog indlæg skrevet af Böck, han registrerede et par domæner, der modtages gratis TLS-certifikater fra Symantec og Comodo, og skabt et sæt af falske private nøgler, der er uploadet til Pastebin for hvert domæne til at sende til det relevante certifikat udbyder, sammen med en anmodning om at tilbagekalde certifikatet, fordi dens private nøgle, som ikke var offentligt tilgængelig.
Böck begravet hans falske nøgler blandt en liste af ægte offentligt tilgængelig private nøgler, og fandt, mens Comodo ikke tilbagekalde sit certifikat, Symantec meddelte ham, at de havde tilbagekaldt hele listen.
“Ingen skade er sket her, fordi certifikatet blev kun udstedt til min egen test domæne. Men jeg har også falske private nøgler i andre folks certifikater. Meget sandsynligt Symantec ville have tilbagekaldt dem så godt, forårsager driftsstop for disse sites,” Böck skrev. “Jeg selv kunne have nemt skabt en falsk nøgle, der tilhører Symantec’ s eget certifikat.”
Den sikkerhed, forsker sagde, at i løbet af sin tilbagekaldelse proces, Symantec aldrig fortalt ham, hvorfor hans legit certifikatet blive tilbagekaldt, og selv efter at han fortalte Symantec hans falske nøgle er defekt, certifikatet forblev tilbagekaldt.
“Symantec gjorde en stor bommert ved at tilbagekalde et certifikat, der er baseret på helt forfalsket dokumentation,” sagde han. “Der er næppe nogen undskyldning for dette, og det angiver, at de har et certifikat myndighed uden en korrekt forståelse af den kryptografiske baggrund.”
På nuværende tidspunkt, Symantec kæmper med Google og Mozilla over, hvordan Chrome og Firefox browsere vil reducere deres tillid i Symantec-udstedte certifikater.
Når det oprindeligt blev foreslået i Marts, Google ingeniør Ryan Sleevi sagde, at efter en “serie af fejl” ved Symantec, Google mener, at dens brugere er udsat for betydelig risiko.
“I løbet af denne undersøgelse, at de forklaringer, som Symantec har vist en stadig stigende omfang af misissuance med hvert sæt af spørgsmål fra medlemmer af Google Chrome-teamet; et første sæt efter sigende 127 certifikater har udvidet til at omfatte mindst 30,000 certifikater, der er udstedt over en periode på flere år,” Sleevi sagde.
“Symantec tilladt mindst fire parter adgang til deres infrastruktur på en måde til at forårsage certifikat udstedelse, ikke i tilstrækkeligt omfang føre tilsyn med disse kapaciteter, som kræves og forventes, og når de præsenteres med bevis for disse organisationer’ undladelse af at følge den relevante standard for pleje, har undladt at videregive sådanne oplysninger i tide, eller at identificere betydningen af de forhold, der er indberettet til dem.”
I svar, Symantec lovet en revision-fest, der ville resultere i større åbenhed.
I denne uge, Symantec, der kaldes for datoen for mistillid i sin certifikater, der er udstedt før juni 2016 at være flyttet fra August 31 deadline til 1 Maj 2018.
Symantec er ikke den eneste certifikat-udsteder i varmt vand med Google som søgemaskine gigant sagde, at brugere af StartCom eller WoSign-udstedte certifikater bør erstatte deres certifikater “hurtigst muligt”.
Når Chrome 61 lander i midten af September, vil browseren har fuldstændig mistillid til WoSign og StartCom rodcertifikater og alle certifikater, som er udstedt fra dem.
I August sidste år, WoSign blev fanget udstedelse af falske HTTPS certifikater for GitHub domæner.
Mozilla udgivet en omfattende liste af problemer med WoSign, som inkluderede episoder med tilbagevirkende kraft-certifikater, for at undgå browsere blokerer certifikater ved hjælp af den forældede SHA-1 algoritmen, og som afviser køb af StartCom.
“For både CAs, har vi konkluderet, at der er et mønster af problemer og hændelser, som indikerer en tilgang til sikkerhed, som ikke er i overensstemmelse med det ansvar, som en offentligt betroede CA,” Andrew Whalley af Chrome Sikkerhed sagde i November.
Mere sikkerhed nyheder
Russisk mand, der hjalp med at bygge Citadellet malware, der er dømt til 5 år
Justitsministeriet, Europol tout AlphaBay takedown, men ‘bevidste’ udfordringer
Hackere er at bruge hotellets Wi-Fi til at spionere på gæsterne, stjæle data
Tor-netværket vil betale dig for at hacke det gennem nye bug bounty program
0