Vlákno názorů ke zprávičce Certifikační autorita DarkMatter nebude v Chrome a Firefoxu, důvodem je strach o její zneužití od Jan Hrach - Lame. Proč nezaloží společnost TotallyNotDarkMatter, která tuto zlou...
-
Jan HrachStříbrný podporovatelLame. Proč nezaloží společnost TotallyNotDarkMatter, která tuto zlou historii mít nebude (a ještě lépe nebude z kontroverzní země), a následně si od ní nevezmou klíče?
Každopádně jak již bylo zmíněno, není mi jasné, jak v době certificate transparency plánují případné útoky provádět. Nebo počítají s tím, že se to po chvíli provalí, a holt to bude mít životnost jen pár útoků/pár dní?
-
Filip JirsákStříbrný podporovatelJenže ten útok bude v CT navždy zaznamenán. Takže i kdyby se ten jeden útok podařil, CA se tím zdiskredituje a ze seznamu důvěryhodných by byla vyřazena. Dobře, možná než by se na to přišlo a došlo by k vyřazení, zvládla by těch útoků několik. Ale nemyslím si, že by se vyplatilo snažit se dostat na seznam důvěryhodných certifikátů kvůli jednotkám útoků. Myslím, že jde spíš o princip – že prostě subjekt, který je známý svou škodlivou činností, nemůže získat v jiné oblasti vysokou důvěru.
-
Filip JirsákStříbrný podporovatel
Pokud ten certifikát vůbec nevystaví v CT a pokud uživatel nebude používat prohlížeč, který CT kontroluje. Když CA ten certifikát vystaví v CT, vůbec nezáleží na počtu cílů, záleží to jenom na to, zda příslušnou položku v logu CT někdo zkontroluje.
-
nezohledňujete, že certifikát může být vystaven i na privátní doménu, kterých se v korporátech používají mraky, tam žádné CT nefiguruje. Stejně tak lze dobře využívat k MitM pro služby, které prostě CT nekontrolují, nejen prohlížeči je IT svět živ.
Mít svůj důvěryhodný certifikát automaticky v systému dává spousty možností jak toho zneužít a je to prostě slabé místo.
-
Filip JirsákStříbrný podporovatel
Jenom připomenu, že se bavíme o zařazení certifikační autority na seznam důvěryhodných certifikačních autorit dvou prohlížečů – Firefoxu a Chrome. Přičemž oba dva prohlížeče mají jako jednu z podmínek pro důvěryhodnost certifikátu to, že je certifikát vystaven alespoň ve dvou CT listech. Pokud prohlížeč narazí na certifikát, který je vydaný některou z CA, které má na svém seznamu důvěryhodných (tj. není to autorita přidaná uživatelem), a certifikát přitom není na jím uznávaném CT listu, určitě ten certifikát zatepla pošle domů – a příslušná CA bude mít co vysvětlovat, protože z toho svého podpisu na tom certifikátu se těžko vykroutí. Protože podmínkou pro to, aby CA byla zařazena na seznam důvěryhodných autorit v prohlížeči, je to, že bude certifikáty dávat alespoň na některé z uznávaných CT listů.
Takže váš komentář je sice pravdivý, ale zcela mimo téma. Na privátní doménu vám snad už dnes žádná důvěryhodná autorita certifikát nevystaví, a hlavně pokud se používá privátní doména, používá se i privátní CA a certifikát té CA mají všechny aplikace v organizaci rovnou předinstalovaný – kvůli tomu není nutné ten certifikát rvát do prohlížečů na celém světě.
