Symantec и “кривые” сертификаты

Очередной раз попались выпущенные Symantec TLS-сертификаты для доменов, администраторы которых эти сертификаты не запрашивали (*.example.com, test.com и пр.) Как уточняет Symantec – сертификаты выпустила одна из компаний-партнёров, и это были тестовые сертификаты. То, что они тестовые – вполне очевидно из состава полей, но при этом сертификаты валидные. Сертификаты были выпущены в 2015 и 2016 годах, сейчас те, что обнаружились, отозваны.

Конечно, считается, что тестовые сертификаты не должны покидать пределы тестового окружения, кроме того, их рекомендуется выпускать с ограничениями, а не для произвольных имён. Система “тестирования”, которая позволяет через партнёрский интерфейс выпустить сертификат для любого домена – выглядит довольно подозрительно, потому что очередной раз подтверждает наличие у удостоверяющего центра внешнего API, пригодного для быстрого выпуска валидных сертификатов для любых доменов, без ведома администраторов этих доменов. Такие сертификаты полезны для использования в перехватывающих TLS прокси.

Адрес записки: https://dxdt.ru/2017/01/23/8254/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 4

  • 1. 23rd January 2017, 23:07 // Читатель Z.T. написал:

    Линк получше: https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg05455.html
    там есть ответ от Symantec (мол, не мы, наш партнер, который прошел аудит и должен был знать что так нельзя, мы их ограничили и расследование продолжается).

    Вот страшилка про субординативные УЦ под Verizon и как новые хозяева УЦ Verizon искали кому был продан суб-УЦ и объясняли операторам этих суб-УЦ что можно, что нельзя и что они обязаны делать: https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/tHUcqnWPt3o

  • 2. 23rd January 2017, 23:09 // Читатель Z.T. написал:

    лучше второй линк:

    https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg04874.html

  • 3. 27th January 2017, 05:06 // Читатель Z.T. написал:

    @Александр Венедюхин

    Chrome записали dxdt.ru в список доменов которым разрешено пользоваться сертификатом от WoSign, потому что сертификат был не отменен а сайт в списке Alexa Top 1M.

    Написано что можно будет стереть сайт из списка, но не написано как.

    https://chromium.googlesource.com/chromium/src.git/+/a4912183cbef2f2e76654467db74cf7d79b5052e%5E%21/

    https://bugs.chromium.org/p/chromium/issues/detail?id=685826

  • 4. 27th January 2017, 11:59 // Александр Венедюхин ответил:

    > Chrome записали dxdt.ru в список доменов которым разрешено пользоваться сертификатом от WoSign

    Занятно. Пусть будет. (Удалить, видимо, можно, отозвав сертификат. Но думаю, что этого делать не нужно.)

Написать комментарий

Ваш комментарий:

Введите ключевое слово "RFF68" латиницей СПРАВА НАЛЕВО (<--) без кавычек: (это необходимо для защиты от спама).

Если видите "капчу", то решите её. Это необходимо для отправки комментария ("капча" не применяется для зарегистрированных пользователей). Обычно, комментарии поступают на премодерацию, которая нередко занимает продолжительное время.