Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Сертификаты Symantec: перехват TLS
В декабре прошлого года я описывал тонкости реализации прозрачного перехвата TLS. Кроме прочего, в той записке есть и фрагмент про перехват с участием УЦ, но когда УЦ секретные ключи на отдаёт третьей стороне (чтобы меньше нарушать требования). Цитата:
Если договориться с провайдером сервиса не удаётся, то возможен другой вариант: участие хорошо известного удостоверяющего центра (УЦ). “Хорошо известного” – в том смысле, что признаваемого браузерами (в случае с HTTPS). Схема с выпуском перехватывающих промежуточных сертификатов – тоже хорошо известна, некоторые УЦ на этой схеме даже попадались. SSL-прокси может взаимодействовать с УЦ следующим образом. Прокси перехватывает TLS-соединение в момент установления, после чего отправляет на специальный API УЦ запрос с сетевым именем, к которому обращается клиент. УЦ известен секретный ключ, который прокси использует при перехвате. УЦ в режиме онлайн выпускает “короткоживущий” сертификат (например, валидный в течение суток) для ключа прокси и требуемого сетевого имени. Этот сертификат возвращается в качестве ответа API. Далее SSL-прокси использует его для подмены и, таким образом, выдаёт себя за узел, с которым пытался соединиться клиент.
На днях занятную схему “вдруг” обнаружили у УЦ Symantec, об этом пишет The Register. Symantec (ещё в прошлом году) выпустили промежуточный сертификат УЦ для Blue Coat (под этой маркой поставляются SSL-прокси для инспектирования TLS-трафика). При этом Symantec утверждает, что ключи от данного сертификата не покидали пределов систем компании, а практика с выпуском корпоративных промежуточных УЦ является стандартной. С последним, между прочим, не поспоришь: действительно, УЦ вполне могут выпускать подобные партнёрские сертификаты.
()
Похожие записки:
- DNS как транспорт для сигналов и данных
- Ретроспектива заметок: деанонимизация по географии
- HTTPS-запись в DNS для dxdt.ru
- "Пасхалки" в трафике
- Техническое: связь SCT-меток с логами Certificate Transparency
- Обновление темы dxdt.ru
- Удостоверяющий центр TLS ТЦИ
- Экспериментальный сервер TLS 1.3: замена сертификатов
- Техническое описание TLS: обновление 2022
- Браузеры и перехват TLS без участия УЦ
- Десятилетие DNSSEC в российских доменах
- Про цепочки, RSA и ECDSA
- TLS-сертификаты dxdt.ru
- Пресертификаты в Certificate Transparency
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- Сорок лет Интернету