This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

TURKTRUST SSL 인증서 실패는 - 정말 무슨 일이 있었는지, 그리고 다음 어떻게 되나요?

Filed Under: Featured, Privacy, Security threats

며칠 전, 제 동료 체스터 노 펀치 - 당겨 제목과 함께 기사 작성 터키어 인증 기관 쓰레기라는이 Google 명의 도용을 시도하는 리드를 .

지금까지 한 얘기 하듯이 무슨 일이 있었는지, 더 정확하게, 또는 - - 무슨 일이 일어난 이후, 온라인 토론과 절개가있다 전개 하고, 결론에 도달 한 것 같다 - 또는, 더 정확하게, 허용 가설 있습니다.

저 같이 간략하게 제가 감히로 요약 해 보자.

SSL과 신뢰의 계층 구조

아마 도처에서 SSL 전문가에게 불쾌감을 것입니다 일부 비공식적 인 용어를 사용합니다, 그리고 어느 oversimplification을 통해 상황을 혼란의 위험을 실행합니다.

하지만 여기 간다.

인증서는, 음, 평범한 구식 SSL 인증서입니다. Supersimplified, 네으로 식별 할 수있는 디지털 서명과 결합 사람들이 귀하의 사이트로 트래픽을 암호화하는 데 사용할 수있는 공개 키,입니다.

인증 기관 (CA)이 아마도 당신이 주장 누군지는 몇 가지 방법으로 확인 후 인증서에 디지털 서명을 추가하는 회사입니다.

중간 인증서는 인증서의 디지털 서명을 생성에 CA가 사용하는 SSL 악기, 사람들이 널 소개시켜 줬 사용자를 볼 수 있도록.

루트 인증서는 인증서가 서명됩니다 때, 아래 신뢰의 다음 수준에서 사용되는 중개 인증서에 디지털 서명을 추가 할 신뢰의 최상위 수준에서 CA가 사용하는 악기입니다. 사람들이 널 소개시켜 줬 회사의 보증인 사용자를 볼 수 있다는 것을 뜻한다.

당신은 신뢰의 계층 구조에서 누구를시켜 줬 손으로 확인하는 것으로 예상되지 않습니다. 브라우저가 보안 연결을 설정하면 모든 자동으로 발생합니다.

신뢰의 공공 루트 인증서 수준의 인증 기관 (CA) 정말 나무의 뿌리입니다. 그들의 인증서는 브라우저에서 미리로드하고 자동으로 신뢰 아래쪽을 전수하고 있습니다.

인증서 - 내장-500

당신은 GOOD4NE1, 말의 인증서에 의해 서명 EXAMPLE.ORG의 이름 SSL 인증서를 가지고 있고,면의 증명서는 TURKTRUST, 말의 인증서에 의해 서명 된 경우, 그리고 TURKTRUST의 인증서를 신뢰하는 경우 고객의 브라우저 ...

그럼 고객의 브라우저 (및 따라서 고객)는 자동으로 서버 (따라서 암시 적으로 당신을 신뢰)를 신뢰합니다.

당신은 당신을 위해 보증. GOOD4NE1 보증 하더군을 당신을 위해. TURKTRUST의 보증 하더군를 GOOD4NE1에. 그리고 TURKTRUST에 대한 브라우저 벤더 보증 하더군합니다.

TURKTRUST의 운영 실수

아마도 잘못된 거지?

TURKTRUST의 경우, 여기이 뭐죠 :

1. 다시 2011 년, TURKTRUST은 가능한 일반 인증서가 요청 된 경우 회사는 실수로 중간 인증서를 생성하고 배송 할 수있게 만들었 결함이 비즈니스 프로세스를 도입했습니다.

2. 2012 년 말에 TURKTRUST는 실수를했고, 2 개 인증서를 요청했던 조직에 두 개의 중간 인증서를 보냈습니다. 그 조직은이었다 자존심 , 앙카라, 터키의 대중 교통 기관.

3. 자존심은 적어도 부분적으로 실수를 실현하고, 인증서 중 하나를 반환합니다.을 취소 TURKTRUST. 어떤 이유로 들어, 자아는 다른 인증서를 보관.

그렇게 TURKTRUST의 발행 허가를 분명히 선택한 모든 도메인 이름에 대한 SSL 인증서를 서명하는 경향을 생각하면 자존심이 지금, 능력이 있다고했다가 무슨 뜻인지.

그리고 TURKTRUST의 루트 인증서가 추정 - 좋은 인증 기관 (CA)의 모든 브라우저의 목록에했기 때문에이 방법으로 자아에 의해 서명 된 인증서가 불평 한마디 없었지, 세계의 거의 모든 브라우저에서 허용 될 것이라고했다가 무슨 뜻인지.

다음 무슨 일이 있었는지, 현재 그 자아는 네트워크에서 HTTPS 트래픽의 보안 검색을 구현​​하기로 결정합니다.

암호화 된 트래픽을 스캐닝

이 프록시를 사용하여 HTTP 트래픽을 스캔 쉽게하지만, 콘텐츠의 엔드 - 투 - 엔드 암호화해야하므로 HTTPS 트래픽이 들여다 어렵습니다.

일반적인 방법은 자신의 트래픽에 대한 중앙 (MITM) 공격에 사람을 수행하는 것입니다. 이에 대한 마케팅 이름은 keybridging하거나 해독 - recrypt하지만, 그것은 정말로 단지 MITM입니다 수 있습니다.

브라우저에서 프록시에서 최종 목적지 프록시와 다른 한 - 두 SSL 세션을 만들 수 있습니다.

당신 프록시 내부의 해독 내용을 검토 한 다음, 여행의 나머지 다시 암호화합니다.

자신의 회사의 아웃 바운드 트래픽에하면 → Keybridging가 공격하지 않습니다,하지만 당신은 사용자가 알 수 있도록한다고. 당신이 SSL 연결에 기대하는 엔드 - 투 - 엔드 암호화의 신성함을 위반합니다.

keybridging있는 운영 통증은 사용자가 인증서 경고 그들이이 새로운 사이트에 보안 연결을 할 때마다 얻을 수 있습니다. 자신의 SSL 연결되지는 방문하기위한 실제 사이트에서 프록시에 종료 있기 때문입니다.

이 주변의 일반적인 방법은 자신의 개인 루트 인증서를 만들 keybridging 프록시에 업로드하고, 프록시가 자동으로 생성 해, 로그인 한 후 자신의 사용자에게 자리 표시 자 인증서를 제공하는 것입니다.

자신의 브라우저가 CA로 자신의 프록시를 신뢰하기 때문에 네트워크에있는 모든 컴퓨터에 개인 루트 인증서를 추가하면, 당신은 인증서 경고를 표시하지 않습니다. 그건 당신이 브라우저 조용히 프록시에서 생성 된 자리 표시 자 인증서를 용납 의미합니다.

그것은 다소 불순한하고 추한이지만, 실용, 그리고 그것은 작동합니다.

외부인과의 문제

함께 자신의 SSL 트래픽을 스캔 할 당신이 상상할 수있는대로 나만의 장치를 지참 (BYOD) 정책이있을 때 상황은 정말 성가신 얻을, 또는 귀하의 네트워크에 계약하게하는 경우, 그리고 (희망적으로 그들의 지식과 자신의 동의를 모두 포함) 할 일반 사용자의과.

그들은 따라서 최상위 CA로 동의, 개인 루트 인증서를 브라우저에를 다운로드하여 설치 될 때까지, 그들은 인증서 경고를 얻을 수 있습니다.

그리고 헬프 데스크에 의해 주어진 지시 사항을 준수하지 않는 사람들은 인증서 경고를 받고 계속되며, 헬프 데스크에게 전화를 할 것입니다. 반복하세요, 씻으십시오.

운 것처럼, 당신은 당신의 MITM 사용할 수 이미 전 세계적으로 - 신뢰할 수있는 루트 CA가 서명 한 중간 인증서를 설치하는 일,하지 않는 한.

그러나 물론, 모든 평판 루트 CA의 비즈니스 프로세스가 실수로 그 목적을 위해 중간 인증서를 발급하지 못하도록하기 때문에 적어도이 아닌 수 없을 겁니다 ...

이가는 곳 ... 당신은 알 수 있습니다.

달아 SSL 공개 키

TURKTRUST의 교섭이 시작, 현재 Google의 크롬 브라우저를 사용하여 한 자아 네트워크에있는 사용자 중 하나 인 google.com 웹 속성을 나타내는 주장하는 예기치 못한 인증서에 대한 경고를받은 경우.

그 때문에라는 크롬 기능입니다 공개 키 자동 지정 알려진 - 좋은 구글 SSL 인증서의 목록도 있지만, 브라우저가 추정 - 좋은 루트 인증 기관의 목록뿐만 아니라 장착되어있는.

추정 - 좋은 CA가 갑자기 시작하는 경우에도 자, *에서 보낸 것으로 인증서를 서명. google.com이 브라우저는 것입니다 불평.

이 루트 CA의 손상으로부터 보호하는 데 도움이, 또는 루트 CA의 실수를 비즈니스 프로세스와 버그의 행동에 대한이 사건에서와 같이 루트 CA, 또는에 의해 의도적으로 위태로운 행동에 대한.

당신은 "실수를 비즈니스 프로세스에 대한,이 경우에는."내 말 한 점에 유의합니다

음모 이론에도 불구하고, 나는이 비밀 감시의 불완전 시도 편의 실수하는 위기 않았 음을 받아 들일 의향이 :

  • TURKTRUST는 인증서의 잘못된 종류를 발행하지 말았어야.
  • TURKTRUST는 첫 번째가보고 된 후 두 번째 증명서를 추적에 대한 자세한 적극적으로되었습니다해야합니다.
  • 자존심은 한 사용에 잘못 발급 중간 인증서를 넣어 말았어야 했어요.

어디 여기에서?

이제 어떻게 되나요?

Google의 벤 로리에 의하면, 댓글 체스터의 이전 기사에 대한 답변의 한 부분입니다 인증 투명성 .

인증서 투명성

나는 제안 자체를 요약 알려드립니다 :

목표는 (또는 적어도 매우 어려운) 불가능 인증 기관이 해당 도메인의 소유자가 볼 수없이 도메인에 대한 인증서를 발급 할 수 있도록하는 것입니다. 차 목표는 잘못된 발급 된 인증서에서 가능한 사용자를 보호하는 것입니다. 또한이 솔루션은 기존 브라우저와 다른 고객과의 하위 호환해야한다는 것입니다.

이것은 인증서의 암호 안심 공개 auditable, 추가 전용 로그의 번호를 생성하여 달성된다. 모든 인증서는 인증서가 해당 로그에 포함 된 것을 주장 하나 이상의 로그 서명과 함께합니다. 브라우저, 감사 및 모니터는 로그가 정직 있도록 협력합니다. 도메인 소유자 및 기타 이해 당사자가 잘못 발행 인증서에 대한 로그를 모니터링합니다.

간단히 말해서, 아이디어는 유통 할 수 있겠 인증서 및 부적격이나 사악 해 목적을 위해 생성 된 것보다 인증서를 구별 할 수있는 지역 사회 policed​​ 목록을 유지하는 것입니다.

물론, 인증서 투명성은 걱정있는 이미 복잡한 과정에 복잡성의 또 다른 레이어를 추가합니다.

뿐만 아니라 이는 우리 모두에게 좋은 말이, SSL 세계에 적용 정직, 책임과 감독의 레이어를 삽입합니다.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog