Symantec и “кривые” сертификаты
Очередной раз попались выпущенные Symantec TLS-сертификаты для доменов, администраторы которых эти сертификаты не запрашивали (*.example.com, test.com и пр.) Как уточняет Symantec – сертификаты выпустила одна из компаний-партнёров, и это были тестовые сертификаты. То, что они тестовые – вполне очевидно из состава полей, но при этом сертификаты валидные. Сертификаты были выпущены в 2015 и 2016 годах, сейчас те, что обнаружились, отозваны.
Конечно, считается, что тестовые сертификаты не должны покидать пределы тестового окружения, кроме того, их рекомендуется выпускать с ограничениями, а не для произвольных имён. Система “тестирования”, которая позволяет через партнёрский интерфейс выпустить сертификат для любого домена – выглядит довольно подозрительно, потому что очередной раз подтверждает наличие у удостоверяющего центра внешнего API, пригодного для быстрого выпуска валидных сертификатов для любых доменов, без ведома администраторов этих доменов. Такие сертификаты полезны для использования в перехватывающих TLS прокси.
Адрес записки: https://dxdt.ru/2017/01/23/8254/
Похожие записки:
- Twitter за стеной регистрации
- Взлом Twitter и влияние на офлайн
- Распределённые сети космических спутников NRO
- Маскирование криптографических ключей в памяти
- YandexGPT и степени тройки
- DNSSEC и особенности развития технологий
- Онлайн-фильтрация URL в браузере Chrome
- Переключение на ML-KEM в браузере Chrome
- NY Times и OpenAI
- Исчезновение "фрагментации Интернета" с разных точек зрения
- Архитектура микропроцессоров и изоляция уровней исполнения
Комментарии читателей блога: 4
1. 23rd January 2017, 23:07 // Читатель Z.T. написал:
Линк получше: https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg05455.html
там есть ответ от Symantec (мол, не мы, наш партнер, который прошел аудит и должен был знать что так нельзя, мы их ограничили и расследование продолжается).
Вот страшилка про субординативные УЦ под Verizon и как новые хозяева УЦ Verizon искали кому был продан суб-УЦ и объясняли операторам этих суб-УЦ что можно, что нельзя и что они обязаны делать: https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/tHUcqnWPt3o
2. 23rd January 2017, 23:09 // Читатель Z.T. написал:
лучше второй линк:
https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg04874.html
3. 27th January 2017, 05:06 // Читатель Z.T. написал:
@Александр Венедюхин
Chrome записали dxdt.ru в список доменов которым разрешено пользоваться сертификатом от WoSign, потому что сертификат был не отменен а сайт в списке Alexa Top 1M.
Написано что можно будет стереть сайт из списка, но не написано как.
https://chromium.googlesource.com/chromium/src.git/+/a4912183cbef2f2e76654467db74cf7d79b5052e%5E%21/
https://bugs.chromium.org/p/chromium/issues/detail?id=685826
4. 27th January 2017, 11:59 // Александр Венедюхин:
> Chrome записали dxdt.ru в список доменов которым разрешено пользоваться сертификатом от WoSign
Занятно. Пусть будет. (Удалить, видимо, можно, отозвав сертификат. Но думаю, что этого делать не нужно.)