Hlavní navigace

Kompromitované SSL/TLS certifikáty "in the wild"

Redakce

Objevilo se několik kompromitovaných SSL/TLS certifikátů, mezi které patří třeba i certifikát addons.mozilla.org. Dotčené certifikáty jsou vydány od Usertrust Network, což je prodejce Comodo CA certifikátů. Comodo se nevyjádřilo, jak k tomu došlo nebo jak moc velká kompromitace v skutečnosti je. Vedou se spekulace o tom, že se jedná o útok na státní úrovni.

V posledních verzích Firefoxu, Chrome a Internet Exploreru jsou tyto certifikáty blokovány „natvrdo“ podle sériových čísel. Mozilla o incidentu napsala krátký blogpost. Největší problém s hierarchickým modelem certifikačních autorit je, že revokace certifikátů nefunguje příliš dobře a už vůbec není vymyšlen plán, co se stane, když je nějaká CA kompromitována úplně.

Několik tipů pro Firefox (Chrome má podobné rozšíření):

  • Certificate Patrol – ukládá certifikáty a varuje když se neočekávaně změní nebo se změní certifikační autorita (ano, jsem si vědom ironie, že link vede na https://addon­s.mozilla.org)
  • Perspectives – umí ověřit, že certifikát je viděn stejně z jiných míst internetu (je i verze pro SSH)
  • about:config – nastavit security.OCSP.require na true v about:config  – tohle ale může „rozbít“ některé weby

V tomto kontextu může být zajímavý projekt monkeysphere.in­fo – rozšíření hierarchického modelu o web-of-trust jak je znám z PGP.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?