This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

الفشل TURKTRUST شهادة SSL - حقيقة ما حدث، وماذا يحدث بعد ذلك؟

Filed Under: Featured, Privacy, Security threats

وقبل بضعة أيام، زميلي تشيستر كتب مقالا تحت عنوان عدم اللكمات، سحبت السلطة التركية شهادة screwup يؤدي إلى محاولة جوجل الانتحال .

ومنذ ذلك الحين، ومناقشة عبر الإنترنت تشريح ما حدث - أو، بدقة أكبر، ما حدث بقدر ما يمكن للمرء أن يقول - وقد تكشفت ، ويبدو أنه قد وصل إلى استنتاج - أو، بدقة أكبر، وهي فرضية مقبولة.

اسمحوا لي أن أحاول أن ألخص بإيجاز كما كنت تجرؤ.

SSL والتسلسل الهرمي للثقة

سوف تستخدم بعض المصطلحات غير الرسمية، والتي من شأنها الإساءة إلى خبراء SSL ربما في كل مكان، والذي يمتد من مخاطر الخلط بين الموقف من خلال التبسيط.

ولكن هنا يذهب.

شهادة هو، أيضا، شهادة SSL سهل القديمة. Supersimplified، انها المفتاح العام يمكن للناس استخدامه لتشفير حركة المرور إلى موقع الويب الخاص بك، جنبا إلى جنب مع التوقيع الرقمي الذي يعرف بأنه لك.

مرجع مصدق (CA) هي الشركة التي تضيف توقيع رقمي إلى الشهادة، ويفترض بعد التحقق في بعض الطريق التي أنت الذي يدعي أن يكون.

شهادة المتوسطة هو الأداة SSL التي يتم استخدامها من قبل CA في توليد التوقيع الرقمي على الشهادة، حتى يتمكن الناس من معرفة من الذي مساندته لك.

شهادة جذر هي الأداة التي يتم استخدامها من قبل CA على أعلى مستوى من الثقة لإضافة توقيع رقمي إلى الشهادتين المتوسطة التي تستخدم في المستوى التالي من الثقة إلى أسفل، عندما يحصل وقع الشهادة. وهذا يعني الناس الذين يمكن أن نرى مساندته للشركة التي مساندته لك.

لا يتوقع منك أن تحقق باليد الذين مساندته لمن في هذا التسلسل الهرمي من الثقة. يحدث تلقائيا عند جميع متصفحك يضع اتصال آمن.

استراتيجية المساعدة القطرية على مستوى الجذر شهادة الثقة العامة هي في الواقع جذور الشجرة. وشهاداتهم محملة مسبقا في المتصفح وتضفي تلقائيا إلى أسفل الثقة.

موتس-المدمج في-500

إذا كان الأمر كذلك لديك شهادة SSL في اسم EXAMPLE.ORG الذي تم توقيعه من قبل شهادة من، يقول، GOOD4NE1، وإذا وقعت من قبل شهادة شهادة من، يقول، TURKTRUST، وإذا موثوق TURKTRUST لشهادة من قبل عميلك متصفح ...

ثم ... متصفح عميلك (وبالتالي عميلك) يثق الخادم الخاص بك تلقائيا (وبالتالي يثق ضمنيا أنت).

يشهدوا لك على نفسك. GOOD4NE1 يبرهن لك. TURKTRUST يبرهن عن GOOD4NE1. ويبرهن متصفحك بائع لTURKTRUST.

TURKTRUST في خطأ التشغيلية

ما الذي يمكن أن تذهب ربما الخطأ؟

في حالة TURKTRUST، وهنا ما:

1. العودة في عام 2011، قدم TURKTRUST عملية تجارية معيبة التي جعلت من الممكن للشركة لتوليد وشحن على مؤهل متوسط ​​عن طريق الخطأ، عندما تم طلب شهادة العادية.

2. في نهاية عام 2012، أدلى TURKTRUST مثل هذا الخطأ، وبعث شهادتين المتوسطة إلى منظمة التي طلبت شهادتين العادية. وكان هذا التنظيم EGO ، هيئة النقل العام في أنقرة، تركيا.

3. أدركت EGO الخطأ، على الأقل في جزء منه، وعاد واحدة من الشهادات. TURKTRUST الغائه. لسبب ما، وأبقى EGO الشهادة الأخرى.

ما الذي يعنيه هو أن EGO كان الآن القدرة، إذا شعرت شاءت، لتوقيع شهادات SSL لأي اسم نطاق اختارت، على ما يبدو مع حرص من TURKTRUST.

وهذا يعني ما كان من شأنه أن uncomplainingly أي شهادة موقعة من EGO بهذه الطريقة تكون مقبولة من كل متصفح في العالم تقريبا، وذلك لأن TURKTRUST لشهادة جذر كان في القائمة كل من المتصفح المفترضة حسن استراتيجية المساعدة القطرية.

ما حدث بعد ذلك، على ما يبدو، هو أن EGO قررت لتنفيذ المسح أمن المرور HTTPS من شبكتها.

مسح حركة المرور المشفرة

فإنه من السهل لمسح HTTP حركة المرور باستخدام وكيل، ولكن حركة المرور HTTPS من الصعب نظرة من الداخل، حيث من المفترض أن يكون مضمون المشفرة نهاية إلى نهاية.

النهج المعتاد هو إجراء رجل في هجوم (MITM) الشرق على حركة المرور الخاصة بك. أسماء التسويق لهذا يتم فك تشفير أو keybridging recrypt، لكنها في الحقيقة مجرد MITM.

إنشاء دورتين SSL - واحدة من متصفح إلى وكيل والآخر من وكيل إلى الوجهة النهائية.

كنت داخل فك تشفير الوكيل، تفحص المحتويات، ومن ثم لبقية الرحلة إعادة تشفير.

→ Keybridging ليس هجوما اذا كنت تفعل ذلك على حركة المرور الخاصة بك في الشركة الصادرة، ولكن يجب عليك أن تسمح للمستخدمين الخاص يعرفون. أنه ينتهك حرمة التشفير من النهاية إلى النهاية التي تتوقعها في اتصال SSL.

ألم التشغيلية مع keybridging هو أن المستخدمين الحصول على شهادة التحذير في كل مرة إجراء اتصال آمن إلى موقع جديد. ذلك لأن صلاتهم SSL في إنهاء الوكيل، وليس في المواقع الحقيقية التي يعتزم زيارة.

بالطريقة المعتادة حول هذا لخلق بنفسك الشهادة الجذر الخاص، تحميله على الوكيل keybridging، والسماح الوكيل تولد تلقائيا، وتوريد توقيع شهادات نائبا للمستخدمين الخاصة بك.

بإضافة الشهادة الجذر خاصة إلى كافة أجهزة الكمبيوتر داخل الشبكة الخاص بك، فإنك قمع تحذيرات الشهادة، لأن المتصفحات الخاصة بك وكيل تثق بنفسك كما CA. وهذا يعني المتصفحات تحمل بهدوء الشهادات التي تم إنشاؤها بواسطة عنصر نائب الوكيل.

انها الى حد ما نجس وقبيحة، ولكن هذا عملي، ويعمل.

والمشكلة مع الغرباء

الأمور المزعجة حقا، كما يمكنك أن تتخيل، عندما يكون لديك جهاز إحضار الخاصة بك (BYOD) السياسة، أو إذا ما تركت المقاولين على الشبكة، وتريد (نأمل مع كل معارفها وموافقتهم) لمسح حركة المرور على طول SSL مع أن من المستخدمين العادي الخاص بك.

حتى تنزيل وتثبيت شهادة الجذر الخاص في المستعرض الخاص بهم، وبالتالي قبول لكم وCA على مستوى عال، وأنها سوف تحصل على شهادة التحذيرات.

وهكذا أولئك الذين لا يتبعون التعليمات التي تتلقاها من مكتب المساعدة الحفاظ على الحصول على شهادة التحذيرات، وسوف تبقي اتصل هاتفيا بمكتب المساعدة. يغسل، وشطف، كرر.

ما لم يكن، كما أنه سيكون له الحظ، كنت يحدث لديها شهادة المتوسطة، وقعت من قبل CA الجذر بالفعل عالميا موثوق بها، التي يمكنك استخدامها لMITM الخاص بك.

ولكن هذا، بالطبع، هو لم يحدث، لأسباب ليس أقلها العمليات التجارية أي السمعة CA الجذر ومنعها من إصدار لك عن غير قصد على مؤهل متوسط ​​لهذا الغرض ...

و... يمكن أن أقول لكم هذا حيث هو ذاهب.

المفتاح العمومي SSL تعلق

وتملق TURKTRUST التي، على ما يبدو، عندما تلقى أحد المستخدمين على الشبكة EGO، الذي كان يستخدم متصفح جوجل كروم، تحذيرا حول شهادة غير متوقع يدعي تمثيل خاصية الويب google.com.

وهذا بسبب وجود ميزة كروم دعا الجمهور تعلق الرئيسية ، والتي تم تجهيز المتصفح ليس فقط مع قائمة المراجع المصدقة الجذر المفترضة حسن، ولكن أيضا مع قائمة من الشهادات المعروفة جوجل حسن SSL.

لذلك، حتى لو كان المفترض CA حسن يبدأ فجأة توقيع شهادات يدعون أنهم من *. google.com، فإن المتصفح شكوى.

هذا يساعد على حماية ضد التسوية من CA الجذر، أو ضد السلوك المراوغة عمدا من قبل CA الجذر، أو، كما في هذه الحالة، ضد العمليات التجارية قذرة وعربات التي تجرها الدواب السلوك من قبل CA الجذر.

عليك ملاحظة أن قلت "في هذه الحالة، ضد العمليات التجارية قذرة."

على الرغم من نظريات المؤامرة، وأنا أميل لقبول أن هذه الأزمة تخبط الراحة، وليس محاولة فاشلة في المراقبة السرية:

  • لا ينبغي TURKTRUST أصدرت هذا النوع الخطأ من الشهادات.
  • كان ينبغي أن يكون أكثر فعالية TURKTRUST حول تعقب الشهادة الثاني مرة واحدة وذكرت والعشرين.
  • يجب أن لا EGO قد وضعت الشهادة الصادرة خطأ وسيطة لاستخدام فعلت.

أين من هنا؟

ما يحدث بعد ذلك؟

وفقا لوري بن Google، و التعليق على المادة تشيستر في وقت سابق، جزء واحد من الجواب هو شهادة الشفافية .

شهادة الشفافية

أنا سأترك اقتراح تلخيص لنفسها:

والهدف هو جعل من المستحيل (أو على الأقل من الصعب جدا) لشهادة السلطة لإصدار شهادة لمجال دون أن يكون مرئيا لصاحب هذا المجال. A الهدف الثانوي لحماية المستخدمين قدر الإمكان من الشهادات الصادرة سوء. والمقصود أيضا أن الحل يجب أن يكون متوافقا مع المتصفحات الوراء القائمة وعملاء آخرين.

ويتحقق ذلك عن طريق إنشاء عدد من أكد التشفير، للتدوين سجلات علنا إلحاقي فقط، من الشهادات. وسيرافق كل شهادة بتوقيع واحد أو أكثر من سجلات مؤكدا أن أدرج الشهادة في هذه السجلات. سوف المتصفحات ومدققي الحسابات ومراقبي التعاون لضمان أن السجل هو صادق. وأصحاب المجال وغيرها من الأطراف المعنية لمراقبة السجل سوء إصدار شهادات.

وضع لفترة وجيزة، والفكرة هي للحفاظ على قائمة حراسة المجتمع المحلي التي تمكنك من التمييز بين الشهادات التي من المفترض أن تكون في التداول، وشهادات من تم إنشاؤها من خلال عدم الكفاءة أو لأغراض شريرة.

بطبيعة الحال، سوف الشفافية شهادة إضافة طبقة أخرى من التعقيد لعملية معقدة بالفعل، وهو قلق.

ولكن ذلك أيضا حقن طبقة من المساءلة القسري، والصدق والإشراف في العالم SSL، والتي يجب أن تكون جيدة بالنسبة لنا جميعا.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog