Názory k článku Cert Spotter: jednoduché sledování vydaných HTTPS certifikátů

Ted uz jen zadratovat do Zabbixu :-)

Je to popsáno v předchozím článku, klient musí dostat potvrzení (SCT) o tom, že byl certifikát do logů vložen.

Takze to vlastne zavisi na necem, co lze pomoci Squirrel-u ovladat a rovnez zmanipulovat? Chrani to tedy pred napichnutim americkou vladou, resp. jejimi slozkami, anebo ne?

Vláda musí o certifikát požádat některou z důvěryhodných autorit. A pokud ta chce vystavit důvěryhodný certifikát, musí ho zveřejnit, aby pro něj získala SCT.

Takze kdyz to zvladnou vystavit bokem a maji pod palcem modifikaci datoveho toku od klienta k logerum, tak tahle technologie vubec klientovi nepomuze a injektovat pujde stejne dobre jako dosud. To mi nepripada moc prinosne...

První scénář je možný: starší certifikáty nemusí být v CT. Za dva roky ale nebude takový certifikát existovat.
Druhý scénář možný není: klienti CT nekontrolují, dostanou od serveru potvrzení (SCT), které lze ověřit offline.
Třetí scénář je možný: pokud uživatel přepne na prohlížeč, který SCT neověřuje, pak samozřejmě chráněn není.

Ten třetí scénář úplně takhle fungovat nemůže, hlavička User-Agent se přenáší až po navázání šifrovaného spojení, které u Chrome selže. Ale dá se předpokládat, že když Chrome selže, uživatel třeba sám aktivně zkusí jiný prohlížeč, jen ho možná trochu nahlodá pocit nejistoty.

Opravte me, jestli se mylim, ale kazdy certifikat musi byt umisten do minimalne 2 CT logu od ruznych spolecnosti, jinak nemuze byt povazovan za platny. Takze Google by musel jeste s nekym spolupracovat.

Minimálně do 3 logů…

Je to složitější. Pro certifikáty s dobou života menší než 15 měsíců, nebo pokud jsou SCT doručovány jinak než v certifikátu, stačí dva logy – jeden Googlí a jeden ne-Googlí, pro certifikáty s delší platností, kde je SCT uvnitř certifikátu jsou potřeba 3 logy, z toho aspoň jeden Googlí a aspoň jeden ne-Googlí.

https://github.com/chromium/ct-policy/blob/master/ct_policy.md

Pokud se do logů zahrnou vládní certifikáty, pak o nich budou všichni vědět, což je přesně cíl CT, takže v tomto ohledu není problém.

Pokud se Google rozhodne nějaké certifikáty do svých logů nezařazovat, pak by to skutečně způsobilo výpadek daných služeb, ale zase to není nic, co by Google nemohl udělat už teď. Klidně může vydat aktualizaci Chrome, která zablokuje třeba všechny adresy s TLD .cz.

Problém by tedy nastal až v případě, kdy by přítomnost v Googlích CT lozích vynucoval i nějaký jiný software, než Chrome.

To je skvělý nápad! Jen by bylo asi dobré, kdyby takovou kontrolu dokázal udělat i přímo Cert Spotter.

Připadá mi zbytečné poskytovat tomu sledovacímu nástroji privátní klíče, nebo i jen řešit, zda je příslušný veřejný klíč párovým klíčem ke konkrétnímu privátnímu klíči. Když mám někde seznam správných privátních klíčů, mám u toho asi i seznam těch veřejných klíčů, a to k ověření úplně stačí.

Mám ještě lepší nápad. Cert Spotter by mohl kontrolovat, zda nově objevený certifikát má v sobě stejný veřejný klíč jako už některý z dříve objevených certifikátů. Tím pádem by nebylo potřeba nic konfigurovat a za předpokladu, že při obnově neměníme privátní klíč by takové obnovy neotravovaly.

Nahlášeno: https://github.com/SSLMate/certspotter/issues/26

Jednoduché sledovanie? S tým by sa dalo polemizovať. Za hodinu pribudnú v sledovaných CT logoch státisíce nových záznamov a je čoraz ťažšie (stojí to čoraz viac času, CPU a prenosovej kapacity) všetky sťahovať len pre to, aby som odfiltroval tých niekoľko domén, ktorých certifikáty chcem sledovať.

Ak náhodou certspotter prestane fungovať (nový proces sa nerozbehne, lebo predchádzajúci proces po sebe nezmazal lock súbor), a certspotter "zmešká" niekoľko dní, prakticky nie je šanca to dohnať, len sledovanie resetnúť a začať akoby odznova.

Na pomalosti spracúvania sa podieľajú aj samotné logy, napr. taký argon2018 vracia na jeden dotaz najviac 256 záznamov, pritom do tohoto logu pribúda najviac.

Krátka štatistika z dnešného večera:

$ ./certspotter/status.pl
 1. ct.cloudflare.com/logs/nimbus2018     154353210 (+142650)
 2. ct.cloudflare.com/logs/nimbus2019       1729226 (+3596)
 3. ct.cloudflare.com/logs/nimbus2020       2004161 (+4301)
 4. ct.cloudflare.com/logs/nimbus2021         19447 (+19)
 5. ct.googleapis.com/icarus              272766072 (+130847)
 6. ct.googleapis.com/logs/argon2018      199602145 (+371711)
 7. ct.googleapis.com/logs/argon2019        5084275 (+768)
 8. ct.googleapis.com/logs/argon2020        1570870 (+165)
 9. ct.googleapis.com/logs/argon2021         187872 (+9)
10. ct.googleapis.com/pilot               285252162 (+127484)
11. ct.googleapis.com/rocketeer           297615883 (+121830)
12. ct.googleapis.com/skydiver             18013272 (+14632)
13. ct.ws.symantec.com                      8099106 (+2305)
14. ct1.digicert-ct.com/log                 5091381 (+1039)
15. ct2.digicert-ct.com/log                 3710790 (+4575)
16. ctserver.cnnic.cn                         42261 (+7)
17. mammoth.ct.comodo.com                  70605787 (+32260)
18. sabre.ct.comodo.com                    60994523 (+39712)
19. sirius.ws.symantec.com                   802378
20. vega.ws.symantec.com                    1126353 (+1209)
    timespan                           ............ 3 h 25 min 9 sec

Mať notifikáciu, že je na svete nový certifikát pre niektorú z mojich domén je príjemné, ale to fungovanie veru nie je bohvie čo.