Čínský WoSign vydal certifikáty pro GitHub běžnému uživateli

Petr Krčmář 31. 8. 2016

Čínská certifikační autorita WoSign chybně vystavovala platné certifikáty. Stačilo přitom dokázat jen ovládání subdomény. Autorita navíc o problému věděla rok a certifikáty nerevokovala.

Čínská certifikační autorita WoSign, která nabízí také vydávání serverových certifikátů zdarma, zatajila bezpečnostní mezeru, díky které bylo možné požádat o platný certifikát k doméně, pokud žadatel ovládal některou ze subdomén. Na problém narazil už před rokem Stephen Schrauger, který pracuje jako admin na fakultě medicíny na University of Central Florida.

Na svém blogu popisuje, jak chtěl zdarma získat certifikát pro web med.ucf.edu (který spravuje) a omylem poslal žádost také o certifikát na www.ucf.edu (který nespravuje). Autorita mu jej ochotně vydala, přestože žádným způsobem neprokázal, že doménu ovládá. Některé autority totiž předpokládají, že pokud prokážete ovládání nadřazené domény, můžete pracovat i s doménami podřazenými. Směrem nahoru by to ale fungovat nemělo – řada služeb nabídne běžnému uživateli prostor na subdoméně.

Schrauger pak zkusil stejnou věc na GitHubu, kde má vlastní subdoménu schrauger.github.com (a analogicky schrauger.github.io). Poté, co se WoSignu prokázal, mohl si vyžádat certifikát pro domény GitHub.com a GitHub.io. Certifikáty skutečně obdržel a dokázal je v testovacím prostředí použít. Pokud by chtěl, mohl by se vydávat za tyto služby a získat od uživatelů například přihlašovací údaje.

Certifikátů bylo víc a nejsou revokované

Už takováto chyba je velmi alarmující, ale problém je ještě hlubší: certifikáty existují už déle než rok a stále nejsou revokované. Přesvědčit se můžete sami: první, druhý. Stephen Schrauger se tedy rozhodl kontaktovat s problémem GitHub, který zase zalarmoval bezpečnostní týmy prohlížečů Firefox, Chrome, Internet Explorer a Safari.

Poté proběhla rozsáhlá komunikace týmů Chrome a Firefoxu se zástupci WoSignu, ze které vyplynulo, že autorita porušila několik svých povinností – zejména neinformovala auditory o vážném bezpečnostním incidentu. 

WoSign má další vroubky

Nejde o první vážné problémy této certifikační autority. A zároveň nejde o první problémy, které byly zatajeny. Dříve bylo například možné validovat doménu na nestandardním portu, který mohl ovládat kdokoliv. Dále bylo možné vyžádat certifikát s SHA-1 se starším datem vydání – takový certifikát pak prošel testem u prohlížečů, které certifikáty s SHA-1 vydané od určitého data nepovažují za bezpečné.

Nyní se ukázalo, že autorita přes zmíněnou chybu se subdoménami vydala 33 certifikátů neoprávněným žadatelům. Co víc – autorita o nich ví, ale nerevokovala je. Udělala to jen u těch, u kterých se žadatelé sami ozvali a požádali o revokaci. Ostatní zůstávají v platnosti, stejně jako zmíněné dva Schraugerovy. Protože WoSign vydává i tyto certifikáty na tři roky, budou ještě dva roky po světě bloudit neoprávněně vydané důvěryhodné certifikáty.

widgety

Je tu další DigiNotar?

Podobná kauza před několika lety zlikvidovala autoritu DigiNotar, která po útoku vydala více než 500 certifikátů neoprávněným žadatelům a mezi doménami byl například i GMail. Výsledkem bylo odstranění autority z běžných úložišť, což fakticky vedlo k jejímu zániku.

Pokud se rozhodnete nečekat a vyřadíte WoSign ze svých úložišť důvěryhodných autorit, nezapomeňte na to, že čínská společnost před časem nepřímo koupila StartCom (autoritu StartSSL), která cross-signovala mezilehlé certifikáty pro WoSign. Autorita je tedy nyní (alespoň technicky) důvěryhodná ze dvou stran – od kořene WoSign a kořene StartSSL. Museli byste tedy ve skutečnosti vyřadit obě autority nebo ručně importovat zmíněný mezilehlý do úložiště a označit ho jako nedůvěryhodný.

Našli jste v článku chybu?
DigiZone.cz: Jaká je Swisscom TV Air Free

Jaká je Swisscom TV Air Free

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou