Vlákno názorů k článku
Falešné TLS certifikáty pro 1.1.1.1
od Filip Jirsák - Nejzajímavější na tom myslím je věc, která ve...
-
Filip JirsákStříbrný podporovatelNejzajímavější na tom myslím je věc, která ve zprávičce není uvedena: Cloudflare je aktivní propagátor Certificate Transparency, provozují jeden z uznávaných CT logů, provozují službu CT monitor – a stejně je na ty certifikáty musel upozornit někdo jiný.
Kolem lepší práce s CT se pak logicky točí většina nápravných opatření.
-
DannyStříbrný podporovatelKdyz se z jedne strany zkracuje platnost certifikatu a soucasne se tlaci zabezpeceni transportni vrstvy pokud mozno vsude (a netvrdim, ze je to spatne)narusta vcelku logicky objem dat, ktere je nutne analyzovat...
Ze to neni trivialni dokazuje mj. i obycejne crt.sh, ktere proste cas od casu nezvlada ani odpovedet na polozeny (jednoduchy) dotaz.
Holt ty teorie kolem "lepsi prace" se sice snadno rikaji, ale jejich nasazeni v realnem svete neni tak trivialni, jak se pri psani podobnych komentaru muze jevit.
-
Filip JirsákStříbrný podporovatel
A zase komentář úplně mimo, ale hlavně že jste v opozici. To běžte vysvětlovat Cloudflare, že CT vůbec nerozumí a jejich „Remediation and follow-up steps“ jsou úplně mimo.
-
DannyStříbrný podporovatel
Tezi, ze Cloudflare CT vubec nerozumi jste tu vyslovil vy sam, dokonce jste vyse zpochybnil jejich analyticke schopnosti - kdyz jste v uvodnim komentari rypal do toho, ze je musel upozornit nekdo treti.
Akorat ze sam nemate v rukavu lepsi reseni. Vlastne muzeme smele konstatovat, ze vy sam byste nedokazal nakodovat to, co zvladli u Cloudflare... pan programator :-)
-
Filip JirsákStříbrný podporovatel
Autoři zdejšího redakčního systému s vámi zjevně nepočítali. Takže tu vedle tlačítka vztyčeného palce chybí ještě další prsty.
-
DannyStříbrný podporovatel
Lepsi dukaz toho, ze sam nejste schopen podobne objemy dat zpracovat jste podat nemohl ;-)
-
DannyStříbrný podporovatel
A premyslel jste nad tim, kolik lidi by si zablokovalo vas? :D Ono by to vase psani mohlo byt jako krik v /dev/null... :D
-
Majitel serveru nemá jak zjistit podvodný certifikát a málokdo aktivně CT logy prochází (což se teď změní). Zde to bylo zjištěno jen díky tomu, že Fina ty (vlastně podvodné) certifikáty dala do CT logu. Jinak by na to mohl přijít jedině DoH/DoT klient (v prohlížeči nebo Windows, ale nikde to není implicitně zapnuté) nebo pozorný správce DNS resolveru, který používá forward na 1.1.1.1. Ještě by na to mohl přijít provozovatel nějakého DNS řešení na ochranu klientů. Možnost odhalení by se snížila, kdyby ten útok byl cílený na omezený počet obětí.
Zde byli teoreticky postiženi jen klienti Windows, protože má CA Fina v úložišti a Windows 11 umožňují DoH v nastavení ručně zapnout. Reálný útok to ale zatím podle všech zjištění nebyl. Šlo snad údajně o nějaké interní opatření, které však mělo být podle pravidel proti jejich vlastnímu DNS resolveru a ne proti veřejnému resolveru Cloudflare.
-
Filip JirsákStříbrný podporovatel
Majitel serveru může zjistit podvodný certifikát právě z CT logů. Fina ty certifikáty dala do CT logu proto, protože podmínkou pro to, aby autorita byla vedena na některém seznamu důvěryhodných autorit, je to, že uveřejňuje certifikáty v CT logu. Nešlo o interní opatření, ale o testy vydávání certifikátů ze strany CA Fina. Akorát ty testy prováděli na produkci s produkčním nastavením a produkčním privátním klíčem.
