Vlákno názorů k článku GoDaddy vydal 8951 certifikátů bez správného ověření od Cohen - Mě teda přijde, že je dost tristní, že...
-
Cohen (neregistrovaný)
Mě teda přijde, že je dost tristní, že nemají u tak zásadního procesu dostatečně detailní log/audit na to, aby byli zpětně schopni vyfiltrovat certifikáty, které vydané být neměly. Testovat dodatečně existenci ověřovacího souboru na serverech a podle toho je revokovat, je sice postup, který je pro ně nejbezpečnější, ale vůči klientům je to docela drsné a svědčí to o slušném diletantství GoDaddy. Tedy ne že by to bylo poprvé.
-
j (neregistrovaný)
... zeby $$$$ ....
Zkus si predstavit, ze budu chtit vydavat opravdu overeny osobni certifikaty. A budu to chtit delat pokud mozno bezpecne jak to de. Tudiz se musis dostavit osobne, a minimalne 15 minut se ti musi venovat nekdo na druhy strane. Musi overit tvoji totoznost podle nekolika dokladu, musi idealne nejakym zpusobem overit spravnou funkcnost tvyho tokenu ... a teprve pak muze podepsat tvoji zadost o cert.
Pokud budes chtit cert pro web, tak k tomu jeste pribude dokladovani ze ses opravnenej k dany domene.
15 minut prace mas jen v nakladech rekneme $10. Jenze ty chces, abych zaroven celej proces auditoval, platil vsem pravidelny skoleni, testoval, jestli dodrzujou postup ... takze $50.
A ja chci vydelat, takze za ten cert ty zaplatis nejmin $100. Jenze sme porad u toho, ze za tyhle prachy tam bude sedet tak mozna chytrejsi orangutan.
Vysledek pak bude ten, ze sice budes mit paradni cert vydanej opravdu jak se patri, ale tem co lezou na tvuj web je to naprosto u rite.
-
Cohen (neregistrovaný)
Já o voze a Vy o koze. Naprosto netuším, kde jste přišel na to, že jsem kritizoval proces ověření serveru/zakazníka. Ten je standardní (tak, jak měl fungovat) a asi nikdo neočekává, že ho bude GoDaddy rozšiřovat nad rámec doporučení. Psal jsem, že měli mít takové záznamy, které by jim umožnily ta vydání zpětně revidovat. To je vše.
-
Ondro (neregistrovaný)
To j:
No a o com to potom cele je?O nicom, bez ohladu aku technologiu vymyslia. Cele je to o dovere a technologie su len prostriedkom, nie tym, na com to stoji. Aka je asi moja dovera v akukolvek cert. autoritu po vsetkych tych odhalenych veciach v poslednej dobe? Blizi sa k nule. Bez tych afer by tiez nebola extra vysoka.
Co, ze mi napriklad Firefox zobrazi symbol zelenej kladky a vypise, kto overil danu domenu. To nijako nepomaha mojmu pocitu bezpecnosti. Je mi to u rite ako pises a ani neviem aka technologia to nezmeni. Toto by mali pochopit vsetci zainteresovany. BFU to bude stale jedno a cloveku znalemu musia byt jasne obmedzenia celeho tohto systemu a bude mu to tiez viac menej jedno. Je to o zdravom rozume a viere, lebo 100% istota je len iluzia.Ano je to o $$$$, je to o predaji lacnej doveryhodnosti. O nicom inom.
Rovnako a este horsie je to v beznom svete a tam nikto neplace a nevedie siahodlhe diskusie o tom ake slabe a nedokonale je overovanie identity.
-
j (neregistrovaný)
Jenze to bezpecny ani bejt nemuze ani kdybys to bezpecny mit chtel, treba jen sam pro sebe. Protoze je to cely rozbity. Kdybys ty sam chtel bezpecne pristupovat k jedinymu webu, tak to nejses schopnej realizovat, minimalne ne dokud si nenapises vlastni browser.
Proto jak sem uz tisickrat psal, jen naprostej nesmysl soucasny chovani browseru, ten by proste zcela bez ohledu na pouzitej cert mel drzet hubu, protoze bezpecnost ssl spojeni je presne stejne zadna, jako bezpecnost bez ssl.
-
NULL (neregistrovaný)
To není pravda - nevleze ti tam každý janek který buď neumí okno rozbít nebo na to nemá koule (rámus, divnější na svědky - při projítí dveřmi si toho moc lidí nevšimne narozdíl od lezení do okna, celou dobu bude rozbité okno a někdo to může začít řešit na rozdíl od odemčených a zase zavřených dveří, navíc už jenom porušením okna či dveří zanechá stopy - od použité metody, otisků možná, nářadí, doby - hned zjistit že tam nědo byl, rámus - svědci -> čas -> okolní kamerové záznamy & svědci . . . . )
A i kdyby nic z toho co jsem napsal - jaký je tedy smysl takových příspěvků? Nezamykat se? Ty si nezamykáš sví skvělé kolo i když může přijít profík a i tak ti ho sebrat?
-
Ondro (neregistrovaný)
Ano zamykám si bicykel skoro vzdy s vedomim, ze tym odradim, len "nahodne okoloiducich" aby mi ho ukradli. Ozajstneho zlodeja to nezastavi a tak vzdy prichadzam k bicyklu s obavou, ci je tam, kde som ho nechal.
Nezamykam si ho len tam, kde viem, ze mi ho tam ukradne len ozajstny zlodej, ktory ide na istotu. Je to tam, kde ludom doverujem.Je to zly priklad, lebo tu som odkazany naniekoho ineho, ze mi tam tu retaz da. Som odkazany mu verit, ze mi spravne pripevnil(aby mi niekto lahko neukradol predne koleso alebo, ze mi ho nepriviazal k odkvapu namiesto ku stojanu), ze mi ju vobec zamkol, ze vobec pouzil retaz a nielen spagat skryty v gumenej buzirke, ze nedal vedome kopiu kluca niekomu dalsiemu, ze kluc len tak nepohodil na stol a tak k nemu moze mat pristup ktokolvek,.....
Zmysel takych prispevkov je v tom, ze upozornuju nato, ze fungovanie a presadzovanie niektorych veci je nezmyselne, zle, zbytocne,...
-
NULL (neregistrovaný)
Ne, vydavatel certifikátů je v jakoby výrobce toho zámku na kolo. Něco garantuje, dá se překonat a občas vydá špatnou séri ať už je to čímkoliv.
Jak už jsem jednou psal: vidím spoustu důvodů proč komunikaci zabezpečit, ale nevidím žádný proč to nedělat - tedy krom obvyklých: mě se to ještě nestalo, nebo napadnout se dá i jinak tak se na to vyser . .e - to si říct u každé kategorie možného vektoru útoku, tak nemusíš zabezpečovat nikdy nic . . . -
Filip JirsákStříbrný podporovatelTo by museli mít uložené komplet odpovědi serveru i s hlavičkami. To už bych nenazýval log/audit, protože to už by měli zaznamenanou skoro celou komunikaci…
Hlavně je ale podle mne chybou považovat to za zásadní proces. DV certifikáty jsou obezlička, která řešila to, že nebylo možné důvěřovat DNS odpovědi. V DV certifikátu autorita potvrzuje, že je někdo držitelem domény, což žádná certifikační autorita potvrdit nemůže, může to potvrdit jen majitel nadřazené domény. A navíc autority ani neověřují, zda je někdo držitelem domény, ale obvykle stačí prokázat, že dotyčný má alespoň nějakou kontrolu nad webovým serverem nebo nad poštovním serverem. Což je ještě o dost slabší tvrzení. U DV certifikátů jde primárně o to, aby byly levné, tudíž jejich ověření musí být co nejjednodušší. Takže je potřeba hlavně nemít o DV příliš velké iluze a doufat, že DV certifikáty brzy zmizí ze světa.
-
ebik (neregistrovaný)
No, tady je zásadní, že součástí URL byl i ověřovací kód. Pokud by tedy útočník podvrhl odpověď dvakrát, tedy při původním ověření a i při kontrole. Tak je jedno, že při kontrole už v url ten kód není, když je stejný, jako při prvním dotazu. Takže bych byl opatrný i u těch certifikátů, které dodatečně ověřili, bez účasti žadatele. (Ta neúčast nepřímo vyplývá z tohoto článku. Pokud originální zdroje tvrdí něco jiného, tak mne prosím opravte.)
-
Typicky útočník nepotřebuje podvrhnout komunikaci s CA.* Registrovat se a požádat o ověření libovolné domény může typicky kdekdo. Nicméně to ověření by mělo selhat, pokud doména není moje. Typicky tedy pro takový útok nepotřebuju napadnout komunikaci CA<–>klient a CA<–>server, ale stačí jen jedno z toho. Nenapadá mě scénář, kdy bych jako útočník potřeboval obojí.
Hlavní, co mě tu zaráží, je, že stačilo, aby odpověď *obsahovala* ověřovací kód.
*) Pokud jsem schopen upravit poslané CSR, mohu vyměnit veřejný klíč, takže podepsaný certifikát bude patřit k mému klíči. Akorát je to trochu nápadné.
