Symantec и “кривые” сертификаты

Очередной раз попались выпущенные Symantec TLS-сертификаты для доменов, администраторы которых эти сертификаты не запрашивали (*.example.com, test.com и пр.) Как уточняет Symantec – сертификаты выпустила одна из компаний-партнёров, и это были тестовые сертификаты. То, что они тестовые – вполне очевидно из состава полей, но при этом сертификаты валидные. Сертификаты были выпущены в 2015 и 2016 годах, сейчас те, что обнаружились, отозваны.

Конечно, считается, что тестовые сертификаты не должны покидать пределы тестового окружения, кроме того, их рекомендуется выпускать с ограничениями, а не для произвольных имён. Система “тестирования”, которая позволяет через партнёрский интерфейс выпустить сертификат для любого домена – выглядит довольно подозрительно, потому что очередной раз подтверждает наличие у удостоверяющего центра внешнего API, пригодного для быстрого выпуска валидных сертификатов для любых доменов, без ведома администраторов этих доменов. Такие сертификаты полезны для использования в перехватывающих TLS прокси.

Адрес записки: https://dxdt.ru/2017/01/23/8254/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 4

  • 1. 23rd January 2017, 23:07 // Читатель Z.T. написал:

    Линк получше: https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg05455.html
    там есть ответ от Symantec (мол, не мы, наш партнер, который прошел аудит и должен был знать что так нельзя, мы их ограничили и расследование продолжается).

    Вот страшилка про субординативные УЦ под Verizon и как новые хозяева УЦ Verizon искали кому был продан суб-УЦ и объясняли операторам этих суб-УЦ что можно, что нельзя и что они обязаны делать: https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/tHUcqnWPt3o

  • 2. 23rd January 2017, 23:09 // Читатель Z.T. написал:

    лучше второй линк:

    https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg04874.html

  • 3. 27th January 2017, 05:06 // Читатель Z.T. написал:

    @Александр Венедюхин

    Chrome записали dxdt.ru в список доменов которым разрешено пользоваться сертификатом от WoSign, потому что сертификат был не отменен а сайт в списке Alexa Top 1M.

    Написано что можно будет стереть сайт из списка, но не написано как.

    https://chromium.googlesource.com/chromium/src.git/+/a4912183cbef2f2e76654467db74cf7d79b5052e%5E%21/

    https://bugs.chromium.org/p/chromium/issues/detail?id=685826

  • 4. 27th January 2017, 11:59 // Александр Венедюхин:

    > Chrome записали dxdt.ru в список доменов которым разрешено пользоваться сертификатом от WoSign

    Занятно. Пусть будет. (Удалить, видимо, можно, отозвав сертификат. Но думаю, что этого делать не нужно.)