This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Turco Autoridade Certificadora screwup leva a Google tentou representação

Filed Under: Apple Safari, Featured, Firefox, Google, Google Chrome, Internet Explorer, Privacy, Vulnerability, Web Browsers

Cortesia do Shutterstock cadeado quebrado Alguns dias eu sinto como um disco quebrado que mantém repetindo a mesma história . Meme de hoje repetir? Questões de autoridade de certificação certificados levando a usuários do Google sendo espionado.

Google detectado pela primeira vez o problema, usando o Chrome do certificado de pinagem , em 24 de dezembro, de acordo com um post no blog intitulado "Melhorar a segurança de certificado digital."

Esse título é um pouco enganador, como essa notificação não foi de todo proativamente sobre aumentar a segurança de certificados digitais, em vez de um mais se esfregar de um acidente de grande porte.

Um usuário do Google Chrome desconhecido foi alertada para um certificado Google validamente assinado que na verdade, não pertencem ao Google.

Alguém estava tentando executar um ataque man-in-the-middle contra a segurança das comunicações deste usuário destinados Google.

Nós não sabemos onde isso ocorreu, mas tecnicamente não importa muito. Isto significa uma autoridade de certificação ou emitidos certificados para alguém que não deveria tê-los ou foi comprometida.

O que eu acho que isso significa é o que eu disse antes: não podemos confiar na autoridade de certificação atual com base SSL / TLS sistema. Ele está quebrado e eu não acredito que ele pode ser facilmente corrigido.

TurkTrust logotipo SSL Google olhou para a cadeia de assinar o certificado e determinou o falso *. Certificado google.com foi emitido por uma autoridade de certificação intermediária que ganhou a sua autoridade de TURKTRUST CA turco.

Este certificado intermediário parecia estranho e, na verdade, era muito estranho. Não deveria existir.

Após relatar o incidente, TURKTRUST descobriu que tinha acidentalmente emitiu dois certificados intermediários em vez de certificados de sites normais em agosto de 2011, incluindo o utilizado para assinar o certificado Google falso.

O que é exatamente um certificado intermediário? Sem explicar todo o processo de certificação SSL / TLS, um certificado intermediário é essencialmente uma chave mestra que pode criar certificados para qualquer nome de domínio.

Estes certificados podem ser usados ​​para representar qualquer site para qualquer navegador sem que o usuário final que está sendo alertado de que alguma coisa está errada. Ainda obter um cadeado, ainda mostra tudo como válido.

Quando você confia o cadeado no seu navegador para ser um indicador de segurança, você não está apenas confiar nos ~ 150 CAs confiáveis ​​pela Mozilla, Microsoft e Google.

FEP SSL Observatório De acordo com o Observatório SSL da EFF , os usuários do Firefox em MS Windows amostrados em 2010 encontrou 1.482 autoridades de assinatura diferentes (incluindo certificados intermediários), todos dos quais o usuário médio que confiar cegamente.

Você está confiando que nem um único deles decidiu colaborar com alguém que queira bisbilhotar seu tráfego, nenhum deles tem um vírus ou foi hackeado e nenhum deles está sendo obrigado por um governo para ajudar com um grampo .

Ahem.

Então, mais uma vez, passar pelo processo de revogar esses certificados e decidir quanto a confiança no futuro para colocar em TURKTRUST.

Google foi o bloqueio de certificados assinados pelos certificados mal emitidos intermediários para usuários do Chrome desde 26 de dezembro. Ainda este mês eles vão rescindir a capacidade de certificados assinados por TURKTRUST a aparecer para ter validação estendida (o destaque verde na barra de endereço).

Microsoft emitiu um alerta hoje revogação de todos os certificados assinados pelos certificados intermediários para todas as versões suportadas do Windows. Os usuários do Windows 8/Server 2012/RT vai ter essa atualização automaticamente, aqueles que usam versões antigas do Windows terá de usar o Windows Update.

Logo Mozilla Mozilla divulgou um comunicado anunciando que vai ser de revogar os dois certificados intermediários próxima terça-feira, 08 de janeiro (horário padrão do Pacífico presumivelmente) com a próxima versão do Firefox.

Mozilla também vai revogar o certificado temporariamente TURKTRUST de raiz inteiramente, até nova revisão.

Opera ainda tem de fazer um comentário, embora os usuários podem remover manualmente TURKTRUST da lista de autoridades raiz confiáveis ​​se eles escolherem.

A Apple, como sempre, não fez comentários sobre quando ou se eles vão tomar medidas para proteger os usuários do Safari e iOS contra qualquer precipitação desses certificados.

É realmente hora de seguir em frente a partir deste 20 anos de idade do sistema, mal implementado. Se é a extensão da chave pública Fixando para HTTP , Convergência , Trusted Afirmações de chaves do certificado ( TACK ) ou DNSSEC-TLS , temos que pegar alguma coisa e começar a implementá-lo.

Ele não precisa ser perfeito para vencer o que temos. Nós nos divertimos discutindo os méritos e fracos dessas propostas para 10 anos em conferências. É altura de começar a trabalhar.

Cadeado quebrado imagem cortesia do Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.