0
Merlata TLS provider di certificati Symantec è stato catturato dal ricercatore di sicurezza Hanno Böck in modo non corretto la revoca dei certificati contraffatti chiavi private.
Secondo un post sul blog scritto da Böck, ha registrato un paio di domini, ricevuti in omaggio certificati TLS da Symantec e Comodo, e ha creato una serie di falsi chiavi private caricato su Pastebin per ogni dominio di inviare il certificato appropriato provider, insieme con una richiesta di revoca del certificato, perché la sua chiave privata è visibile pubblicamente.
Böck sepolto il suo falso chiavi tra un elenco di genuino pubblicamente le chiavi private, e trovato durante Comodo non revocare il certificato, Symantec lo informò che aveva revocato l’intero elenco.
“Nessun danno è stato fatto qui, perché il certificato è stato rilasciato solo per il mio test di dominio. Ma avrei potuto anche falsi chiavi private di altri popoli’ certificati. Molto probabilmente Symantec avrebbe revocato loro, causando tempi di inattività per quei siti,” Böck scritto. “Ho anche potuto facilmente creato un falso chiave appartenente alla Symantec proprio certificato.”
Il ricercatore di sicurezza, ha detto che durante il suo processo di revoca, Symantec ha mai spiegato il motivo per cui la sua legit certificato è stata revocata, e anche dopo, ha detto che Symantec suo falso chiave era difettoso, il certificato è rimasto revocata.
“Symantec ha fatto un errore più grossolano per la revoca di un certificato in base completamente forgiato prove,” ha detto. “Non c’è quasi più nessuna scusa per questo e indica che operano un certificato di autorità senza una corretta comprensione di crittografia di sfondo.”
Al momento attuale, Symantec è il wrestling con Google e Mozilla su come il browser Chrome e Firefox di ridurre la loro fiducia in Symantec-i certificati emessi.
Quando inizialmente proposto nel mese di Marzo, ingegnere Google Ryan Sleevi ha detto che a seguito di una serie di fallimenti” da Symantec, Google ritiene che i suoi utenti si trovano ad affrontare rischi significativi.
“Nel corso di questa indagine, le spiegazioni fornite da Symantec hanno rivelato un continuo incremento di portata di misissuance con ogni set di domande da parte dei membri del team di Google Chrome; un set iniziale di riferito 127 certificati si è ampliata per includere almeno 30.000 certificati, emessi nel corso di un periodo che si estende su più anni,” Sleevi detto.
“Symantec permesso almeno quattro parti l’accesso alla propria infrastruttura in modo da causare l’emissione di certificati, non sufficientemente sorvegliare queste capacità, come richiesto e previsto, e quando si presenta l’evidenza di queste organizzazioni, il mancato rispetto di adeguati standard di cura, non è riuscito a divulgare tali informazioni in modo tempestivo, o per identificare il significato dei problemi segnalati.”
In risposta, Symantec ha promesso una revisione-fest che comporterebbe una maggiore trasparenza.
Questa settimana, Symantec chiamato per la data di sfiducia nei suoi certificati rilasciati prima del giugno 2016 essere spostato dal 31 agosto, data di scadenza 1 Maggio 2018.
Symantec non è il solo certificato emittente in acqua calda con Google, il gigante della ricerca ha detto agli utenti di StartCom o WoSign certificati emessi dovrebbe sostituire i loro certificati “come una questione di urgenza”.
Quando Chrome 61 terre a metà settembre, il browser che completa sfiducia nei confronti del WoSign e StartCom certificati di origine e di tutti i certificati emessi fuori di loro.
Nel mese di agosto dello scorso anno, WoSign è stato catturato il rilascio di falsi certificati HTTPS per GitHub domini.
Mozilla ha pubblicato un ampio elenco di problemi con WoSign, che comprendeva gli incidenti di retrodatazione certificati per evitare browser blocco dei certificati utilizzando l’obsoleto algoritmo SHA-1, e negando l’acquisto di StartCom.
“Per entrambi i CAs, abbiamo concluso c’è un modello di problemi e incidenti che indicano un approccio alla sicurezza che non è in conformità con la responsabilità di un pubblico attendibile,” Andrew Whalley di Sicurezza Chrome ha detto nel mese di novembre.
Più notizie di sicurezza
Uomo russo che ha contribuito a costruire la Cittadella malware condannato a 5 anni
Dipartimento di giustizia, Europol tout AlphaBay takedown, ma ‘consapevoli’ le sfide rimangono
Gli hacker utilizzano hotel Wi-Fi per spiare gli ospiti, rubare i dati
Tor rete vi paga per elaborarlo attraverso nuovi bug bounty program
0