Hlavní navigace

Čínský WoSign vydal certifikáty pro GitHub běžnému uživateli

Petr Krčmář 31. 8. 2016

Čínská certifikační autorita WoSign chybně vystavovala platné certifikáty. Stačilo přitom dokázat jen ovládání subdomény. Autorita navíc o problému věděla rok a certifikáty nerevokovala.

Čínská certifikační autorita WoSign, která nabízí také vydávání serverových certifikátů zdarma, zatajila bezpečnostní mezeru, díky které bylo možné požádat o platný certifikát k doméně, pokud žadatel ovládal některou ze subdomén. Na problém narazil už před rokem Stephen Schrauger, který pracuje jako admin na fakultě medicíny na University of Central Florida.

Na svém blogu popisuje, jak chtěl zdarma získat certifikát pro web med.ucf.edu (který spravuje) a omylem poslal žádost také o certifikát na www.ucf.edu (který nespravuje). Autorita mu jej ochotně vydala, přestože žádným způsobem neprokázal, že doménu ovládá. Některé autority totiž předpokládají, že pokud prokážete ovládání nadřazené domény, můžete pracovat i s doménami podřazenými. Směrem nahoru by to ale fungovat nemělo – řada služeb nabídne běžnému uživateli prostor na subdoméně.

Schrauger pak zkusil stejnou věc na GitHubu, kde má vlastní subdoménu schrauger.github.com (a analogicky schrauger.github.io). Poté, co se WoSignu prokázal, mohl si vyžádat certifikát pro domény GitHub.com a GitHub.io. Certifikáty skutečně obdržel a dokázal je v testovacím prostředí použít. Pokud by chtěl, mohl by se vydávat za tyto služby a získat od uživatelů například přihlašovací údaje.

Certifikátů bylo víc a nejsou revokované

Už takováto chyba je velmi alarmující, ale problém je ještě hlubší: certifikáty existují už déle než rok a stále nejsou revokované. Přesvědčit se můžete sami: první, druhý. Stephen Schrauger se tedy rozhodl kontaktovat s problémem GitHub, který zase zalarmoval bezpečnostní týmy prohlížečů Firefox, Chrome, Internet Explorer a Safari.

Poté proběhla rozsáhlá komunikace týmů Chrome a Firefoxu se zástupci WoSignu, ze které vyplynulo, že autorita porušila několik svých povinností – zejména neinformovala auditory o vážném bezpečnostním incidentu. 

WoSign má další vroubky

Nejde o první vážné problémy této certifikační autority. A zároveň nejde o první problémy, které byly zatajeny. Dříve bylo například možné validovat doménu na nestandardním portu, který mohl ovládat kdokoliv. Dále bylo možné vyžádat certifikát s SHA-1 se starším datem vydání – takový certifikát pak prošel testem u prohlížečů, které certifikáty s SHA-1 vydané od určitého data nepovažují za bezpečné.

Nyní se ukázalo, že autorita přes zmíněnou chybu se subdoménami vydala 33 certifikátů neoprávněným žadatelům. Co víc – autorita o nich ví, ale nerevokovala je. Udělala to jen u těch, u kterých se žadatelé sami ozvali a požádali o revokaci. Ostatní zůstávají v platnosti, stejně jako zmíněné dva Schraugerovy. Protože WoSign vydává i tyto certifikáty na tři roky, budou ještě dva roky po světě bloudit neoprávněně vydané důvěryhodné certifikáty.

Je tu další DigiNotar?

Podobná kauza před několika lety zlikvidovala autoritu DigiNotar, která po útoku vydala více než 500 certifikátů neoprávněným žadatelům a mezi doménami byl například i GMail. Výsledkem bylo odstranění autority z běžných úložišť, což fakticky vedlo k jejímu zániku.

Pokud se rozhodnete nečekat a vyřadíte WoSign ze svých úložišť důvěryhodných autorit, nezapomeňte na to, že čínská společnost před časem nepřímo koupila StartCom (autoritu StartSSL), která cross-signovala mezilehlé certifikáty pro WoSign. Autorita je tedy nyní (alespoň technicky) důvěryhodná ze dvou stran – od kořene WoSign a kořene StartSSL. Museli byste tedy ve skutečnosti vyřadit obě autority nebo ručně importovat zmíněný mezilehlý do úložiště a označit ho jako nedůvěryhodný.

Našli jste v článku chybu?

31. 8. 2016 18:48

Zrovna s bankou mám v tomto směru jednu zkušenost a výbornou. Je to asi deset let (možná víc), co žena volala do ČSOB, že mají nevalidní certifikát. Operátorka jí okamžitě nadiktovala otisk veřejného klíče, aby mohla spojení ověřit sama. Takže bych jim dal jedničku.

31. 8. 2016 20:37

Stát se to může a banka v tom nemusí mít prsty. Uživatel může mít třeba starší nebo zvláštní operační systém, neobvyklý prohlížeč, vyházené některé autority, možností je spousta. Pak se dozví, že certifikát není možné ověřit a nastupuje ruční varianta, na kterou by měla být alespoň banka připravená.

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel