Symantec и “кривые” сертификаты
Очередной раз попались выпущенные Symantec TLS-сертификаты для доменов, администраторы которых эти сертификаты не запрашивали (*.example.com, test.com и пр.) Как уточняет Symantec – сертификаты выпустила одна из компаний-партнёров, и это были тестовые сертификаты. То, что они тестовые – вполне очевидно из состава полей, но при этом сертификаты валидные. Сертификаты были выпущены в 2015 и 2016 годах, сейчас те, что обнаружились, отозваны.
Конечно, считается, что тестовые сертификаты не должны покидать пределы тестового окружения, кроме того, их рекомендуется выпускать с ограничениями, а не для произвольных имён. Система “тестирования”, которая позволяет через партнёрский интерфейс выпустить сертификат для любого домена – выглядит довольно подозрительно, потому что очередной раз подтверждает наличие у удостоверяющего центра внешнего API, пригодного для быстрого выпуска валидных сертификатов для любых доменов, без ведома администраторов этих доменов. Такие сертификаты полезны для использования в перехватывающих TLS прокси.
Адрес записки: https://dxdt.ru/2017/01/23/8254/
Похожие записки:
- "Блокирующие" источники случайности в операционных системах
- Влияние систем ИИ на процессы в мире
- Партнёрское API для сертификатов в ТЦИ
- Статья о Certificate Transparency
- Десятилетие DNSSEC в российских доменах
- S/MIME-сертификаты ТЦИ
- Техническое: связь SCT-меток с логами Certificate Transparency
- TLS: выбор сертификата по УЦ в зависимости от браузера
- Про цепочки, RSA и ECDSA
- Занятный замок Fichet 787
- Модули DH в приложении Telegram и исходный код
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 4
1. 23rd January 2017, 23:07 // Читатель Z.T. написал:
Линк получше: https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg05455.html
там есть ответ от Symantec (мол, не мы, наш партнер, который прошел аудит и должен был знать что так нельзя, мы их ограничили и расследование продолжается).
Вот страшилка про субординативные УЦ под Verizon и как новые хозяева УЦ Verizon искали кому был продан суб-УЦ и объясняли операторам этих суб-УЦ что можно, что нельзя и что они обязаны делать: https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/tHUcqnWPt3o
2. 23rd January 2017, 23:09 // Читатель Z.T. написал:
лучше второй линк:
https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg04874.html
3. 27th January 2017, 05:06 // Читатель Z.T. написал:
@Александр Венедюхин
Chrome записали dxdt.ru в список доменов которым разрешено пользоваться сертификатом от WoSign, потому что сертификат был не отменен а сайт в списке Alexa Top 1M.
Написано что можно будет стереть сайт из списка, но не написано как.
https://chromium.googlesource.com/chromium/src.git/+/a4912183cbef2f2e76654467db74cf7d79b5052e%5E%21/
https://bugs.chromium.org/p/chromium/issues/detail?id=685826
4. 27th January 2017, 11:59 // Александр Венедюхин ответил:
> Chrome записали dxdt.ru в список доменов которым разрешено пользоваться сертификатом от WoSign
Занятно. Пусть будет. (Удалить, видимо, можно, отозвав сертификат. Но думаю, что этого делать не нужно.)
Написать комментарий