[решето][драма]Опять про SSL-сертификаты

0

1

Trustwave дала «subordinate root»-сертификат частной компании, который дал ей возможность генерировать сертификаты для любого домена и проводить man-in-middle-атаки. Мозилла возмущена, и призывает удалить рутовый сертификат Trustwave из Firefox и Thunderbird.

Не Ъ (много букв) - https://www.computerworld.com/s/article/9224082/Trustwave_admits_issuing_man_...

Ссылка

←	[смрад] Так держать Норильск!

Вышел XBMC 11 Eden Beta 3 и XBMCbuntu.

→

не понял, в чём суть (обесните), но поддерживаю

~~xsektorx~~ ★★★
(09.02.12 21:44:14 MSK)

Ответ на: комментарий от xsektorx 09.02.12 21:44:14 MSK

сходил на википедию, понял

~~xsektorx~~ ★★★
(09.02.12 21:45:33 MSK)

Ссылка

Еще одна палка в колеса централизованной раздачи сертификатов.

segfault ★★★★★
(09.02.12 21:48:55 MSK)

Ссылка

Ответ на: комментарий от xsektorx 09.02.12 21:44:14 MSK

Простыми словами - суть в том, что выдать сертификат для домена могут только ограниченный круг уважаемых организаций, которые обладают так называемыми корневыми сертификатами (root certificates). И вот тут, одна из таких компаний, никому ничего не сказав делегировала свои полномочия какой-то левой конторе, которая теперь может сама генерировать сертификаты для любого домена. То есть, был нарушен сам принцип схемы доверия при проверке ССЛ-сертификатов.

Я сам не шибко спец в этом деле, запостил в надежде что продвинутые аналитеги дополнят.

provaton ★★★★★
(09.02.12 21:49:27 MSK) автор топика

Ответ на: комментарий от provaton 09.02.12 21:49:27 MSK

Я сам не шибко спец в этом деле, запостил в надежде что продвинутые аналитеги дополнят.

А что дополнять? Просто система показывает свою не эффективность, основываясь на факторе доверия. Предлагалось ранее, после истории с израильским центром, что нужно сокращать число root-CA до максимально возможного числа. Иными словами, они все должны расписываться своей кровью, а в случае провалов - делать сеппуку :)

~~gh0stwizard~~ ★★★★★
(09.02.12 21:55:25 MSK)

[криптота] google chrome violates the law of this universe (комментарий) - я таки был прав, что надо выпиливать.

~~timur_dav~~ ☆☆☆☆☆
(09.02.12 21:57:52 MSK)

Ссылка

Ответ на: комментарий от gh0stwizard 09.02.12 21:55:25 MSK

> А что дополнять?

Trustwave что-то там оправдывается, и я слабо понял их аргументы.

provaton ★★★★★
(09.02.12 21:58:50 MSK) автор топика

Ответ на: комментарий от provaton 09.02.12 21:49:27 MSK

Да все правильно сказал. Только им доверия не больше, чем любым другим (обычные, левые конторы делающие деньги из воздуха) - вся их ценность лишь в том, что их root сертификаты прописаны по-дефолту во всех операционках.

~~zgen~~ ★★★★★
(09.02.12 21:58:59 MSK)

Ссылка

Ответ на: комментарий от gh0stwizard 09.02.12 21:55:25 MSK

что нужно сокращать число root-CA до максимально возможного числа

До 1го.

Иными словами, они все должны расписываться своей кровью, а в случае провалов - делать сеппуку :)

Который сделает сеппуку и после этого будет обычных хаос.

Я склонен полагать, что доверие все равно фиктивно, вся суть сертификата - это чтобы у пользователя app не орал, когда мы в SSL/TLS все заворачиваем =>
следовательно, надо просто отдать в public private key root сертификатов, которые установлены по-умолчанию в OS и APPs

Проиграют только дерьмо-конторы, делающие деньги из воздуха. А все остальные только выиграют, ибо потерять доверие, которого не было нельзя.

~~zgen~~ ★★★★★
(09.02.12 22:02:14 MSK)

Ссылка

Ответ на: комментарий от gh0stwizard 09.02.12 21:55:25 MSK

сокращать

до максимально возможного числа

~~xsektorx~~ ★★★
(09.02.12 22:02:47 MSK)

Ссылка

Когда прочёл на опеннете новость, сразу сделал dpkg-reconfigure ca-certificates и удалил бяку.

GotF ★★★★★
(09.02.12 22:03:13 MSK)

Ссылка

Ответ на: комментарий от provaton 09.02.12 21:58:50 MSK

The system was created using dedicated hardware device designed for SSL proxy and acceleration, with a FIPS-140-2 Level 3 compliant Hardware Security Module (HSM) (http://en.wikipedia.org/wiki/Hardware_security_module) for subordinate root storage and for the purpose of private key generation of the re-signed SSL certificates. This means that once the trusted subordinate root was placed into the device it could not be extracted.
Additionally, when the system would accept an outbound SSL connection from within the customer network, and negotiate the session with the server outside the customers network, the private key for the resulting re-signed SSL certificate (that is presented to the internal network) would be generated in the HSM and only live for the duration of the SSL request. No party had access to the re-signed SSL certificate private keys at any time, nor could they gain access to them. This is what prevented the customer from being able to perform ad hoc issuance of certificate for any domain and use them outside of this hardware and infrastructure.
Trustwave has decided to be open about this decision as well as stating that we will no longer enable systems of this type and are effectively ending this short journey into this type of offering.

http://blog.spiderlabs.com/2012/02/clarifying-the-trustwave-ca-policy-update....

Они считают, что они чисты, так как все сделано было по их плану. Тем не менее, неизвестно какая именно подпись оказалась у частной компании. Имеется в виду, были ли даны полные права на подписывание любых сертификатов, а не только HSM. После Израиля уже конечно спецы разогрелись, ибо все может быть, в том числе и то, что подписью располагают «умные» люди, которые получили его за хорошие деньги. А проверка Trustwave естественно ничего не нашла, т.к. все именно так и задумывалось: мы белые и пушистые, как раз перед вашим приходом мы все почистили.

~~gh0stwizard~~ ★★★★★
(09.02.12 22:09:22 MSK)