Vlákno názorů k článku Čínský WoSign vydal certifikáty pro GitHub běžnému uživateli od Filip Jirsák - Autorita je tedy nyní (alespoň technicky) důvěryhodná ze...
-
Filip JirsákStříbrný podporovatelAutorita je tedy nyní (alespoň technicky) důvěryhodná ze dvou stran – od kořene WoSign a kořene StartSSL. Museli byste tedy ve skutečnosti vyřadit obě autority.
Právě proto se v prohlížečích autority nevyřazují, ale označují za nedůvěryhodné. Pak vůbec nezáleží na tom, jaká autorita ten nedůvěryhodný certifikát vydala, prostě je nedůvěryhodný.Ten cross-signed certifikát má sériové číslo
19:C2:85:30:E9:3B:36a nejsnáze ho získáte ze seznamu certifikátů, které posílá přímo https://www.wosign.com/.Řešení je tedy přesně opačné – ten mezilehlý certifikát neimportovat a označit jako nedůvěryhodný. Ve Windows jej naimportovat do „Untrusted Certificates“ a v jeho vlastnostech na záložce „Obecné“ v panelu „Užití certifikátu“ (? – anglicky Certificate purposes) zvolit „Zakázat všechny způsoby použití certifikátu“ (Disable all purposes for this certificate).
Ve Firefoxu je ten cross-signed certifikát pod certifikáty StartCom. I když jsme mu ve FF 47 odebral důvěru pro podepisování serverových certifikátů, na web www.wosign.com mne Firefox bez řečí pustí. Zřejmě nefunguje to odebrání důvěry cross-signovanému certifikátu, když nad ním je důvěryhodný certifikát, což je podle mne závažná chyba Firefoxu.
-
Filip JirsákStříbrný podporovatel
Ta chyba ve Firefoxu je dlouho známá, je to 585352 a nedávno oslavila hezkých 6 let…
-
ebik (neregistrovaný)
A na tuhle pitominu jsi prisel prosimte kde. Jirsak popisuje reseni, kdy jsou ve stavajicim systemu pridany 'banned' certifikaty - je to vyjimka stejne jako kdyz pridavate pozitivni vyjimky na domeny se spatnym certifikatem, nebo s certifikacnim chainem mimo bezne certifikacni autority. To ma byt soucasti kazdeho ssl klienta. Jedna se o docasne reseni, ale na druhou stranu nemusite cekat az nekdo (treba startssl) revokuje diskreditovany certifikat (tedy certifikat agentury wosign).
Nesnazime se tu o idealni zabezpeceni proti vsemu. Snazime se tu predevsim zlepsit zavedeny system, aby byl pouzitelny hned, a ne ze budem vymyslet novy standard, ktery se vyhledove prosadi za patnact let a bude mit novou sadu problemu, ktere ted ani nedohledneme.
-
hugochavez (neregistrovaný)
@ebik
"...Nesnazime se tu o idealni zabezpeceni proti vsemu. Snazime se tu predevsim zlepsit zavedeny system, aby byl pouzitelny hned, a ne ze budem vymyslet novy standard....."
Tenhle pruser s certifikatama ktere vubec nemely byt vydany neni ani prvni a 100%ne ani posledni - je zabavne sledovat zatvrzelost s jakou nekteri uzivatele doufaji ze lze z hovna uplest bic.
NELZE! i kdyz je tech hoven hodne (podivejte se kolik se vam CA vali na kompu) a zuby nehty tvrdi ze vubec ale vubec nepachnou............=vydavame preci DUVERYHODNE certifikaty! Pomineme-li fakt ze pulka tech "duveryhodnych" CA jsou tajny sluzby samy jetu porad druha pulka coz jsou akciovky vznikle za ucelem zisku (nee proto aby nejaky ebik moh' bezpecne brouzdat po netu) a ktere krome toho ze samy prodavaji teply vzduch joudum tak bez skrupuli podepisuji dalsim prekupnikum certy tak aby si i oni mohli ukousnout z toho velkeho kolace, pripadne delat jeste neco horsiho.....
Coz samozrejme casto dopadne oproti ocekavani:
http://www.computerworld.com/article/2901852/microsoft-blacklists-latest-rogue-ssl-certificates.html
eventuelne
http://blogs.esign.in/2015/12/how-digital-certificates-are-used-and-misused/
https://en.wikipedia.org/wiki/Intermediate_Certificate_Authority
je kouzelne ze se tomuto cirkusu rika "chain of trust" pricemz vystiznejsi nazev by asi byl "chain of scamers".
Myslim ze udelas dobrou sluzbu sam sobe kdyz opustis iluzi o "zlepseni zavedeneho systemu" a prijmes krutou pravdu ze soucasny stav PKI je vice nez pouzitelnemu systemu podobny novodobemu nabozenstvi kde par (set) chytraku prodava tupym ovcim iluzi o lepsim (bezpecnejsim) svete.....Na zaver trochu klasiky :o)))
https://en.wikipedia.org/wiki/DigiNotar
http://www.esecurityplanet.com/network-security/symantec-issues-fraudulent-google-ssl-cert.html
jinak tenhle je muj oblibenej-nevim jestli to uz Google opravil ale jestli jo urcite se najde nejaka podobna dira :o))) DEFCON 17: More Tricks For Defeating SSL
https://www.youtube.com/watch?v=ibF36Yyeehw -
ebik (neregistrovaný)
Ano soucasny system je vadny, ale vetsinu zminenych problemu DANE + DNSSEC resi, alespon pro narodni domeny. Na narodni domene totiz bude pak muset byt hacknut i DNS, coz musi udelat nekdo uvnitr statu, a to uz je cin ktery se da posuzovat a trestat podle pravidel toho statu. A tim se vracim k tomu, ze pokud neverite vlastni vlade, tak byste se ji mel pokusit zmenit.
Ostatne pro bezneho uzivatele (vcetne mne), je bezny web pevne spjat se svym domenovym nazvem, a overujeme jen jestli certifikat je vydany opravdu pro danou domenu. Vsechny OV a EV certifikaty se v klientu stejne nezobrazi tak, aby uzivatele neco varovalo, kdyz tam bude jen DV.
U nebezne komunikace standardni "chain of trust" nepouzivam. -
hugochavez (neregistrovaný)
@ebik
"pokud neverite vlastni vlade, tak byste se ji mel pokusit zmenit"
:o)))
nevim kolik ti je let ale zkus se rozhlidnout kolem sebe. Nespokojenost s vladama a PREDEVSIM s tou sbirkou sasku zvana EU je napric Evropou uz spousty let...........a stale se stupnuje.
V USA je to jeste markantnejsi........ vzhledem k etablovanemu volebnimu systemu je ale zmena vice nez obtizna- navic mozna uz jsi zjistil ze SLUSNI LIDI S MORALKOU do politiky nechteji jit, protoze mezi tou verbezi nedokazou prezit.
A pokud vlade ci tem co ji ridi zacnes lizt na nervy vic nez je zdravo nemusi to dobre skoncit.
Tenhle film je pro tebe jak delanej
https://www.youtube.com/watch?v=RvsxnOg0bJY"vetsinu zminenych problemu DANE + DNSSEC resi"
:o))) zasadni problemy neresi, jen z velke tragedie delaji mensi.
Osobne si myslim ze se "s pribyvajicimi prusery" nevyhneme re-designu a tvorbe jinych systemu.
Rozhodne DECENTRALIZOVANYCH, mozna zalozenych na myslence blockchainu (treba neco na zpusob https://en.wikipedia.org/wiki/Namecoin https://en.wikipedia.org/wiki/.bit)
mozna pro zobrazovani webu tohle https://en.wikipedia.org/wiki/InterPlanetary_File_System
mzona neco takoveho https://en.wikipedia.org/wiki/GNUnet tezko rict ale soucasny stav je neudrzitelny.
BTW nechapu to bazirovani na narodnich domenach? K cemu? Me zajima jestli se mi zobrazi obsah a jak rychle, KDE ten obsah na zemekouli lezi je podruzne. Ovsem jako vsechno centralizovane TLD system dava urcite entite moc manipulovat s pristupem k urcitemu obsahu. Viz DNS bloking anebo domain name seizing (casto provedeny ex-parte)
napr historie TPB je toho ukazkou
http://www.lupa.cz/clanky/trinact-let-the-pirate-bay-navzdory-vsem-snaham-hollywoodu/#utm_medium=kolotoc&utm_source=root-cz&utm_campaign=trinact-let-the-pirate-bay-navzdory-vsem-snaham-hollywoodu -
hugochavez (neregistrovaný)
zda se ze ten film je na YT komplet https://www.youtube.com/watch?v=QL182y-5iIY
-
hugochavez (neregistrovaný)
tahle kopie je lepsi
https://archive.org/details/TheInternetsOwnBoyTheStoryOfAaronSwartz -
Filip JirsákStříbrný podporovatel
Chromium se na Linuxu (Manjaro Linux) chová stejně jako Firefox - intermediate certifikát, který má zrušené všechny položky o důvěryhodnosti, je nadále považován za důvěryhodný podle nadřazeného certifikátu. Jediný rozdíl je v tom, že Chromium v GUI v seznamu certifikátů viditelně označuje nedůvěryhodné certifikáty, a ten intermediate certifikát takto označený není. A vlastně ještě jeden rozdíl, Chromium ten certifikát zobrazuje v seznamu pod WoSign, ne pod StartComem.
-
dem (neregistrovaný)
Mohl by někdo prosím podrobněji popsat tento certifikát (19:C2:85:30:E9:3B:36) ve Firefoxu získat (pro https://www.wosign.com/ mi Certificate Viewer ukazuje tři jiné 5e:.., 3e:... a 28:...)?
Jestli to dobře chápu, tak se ve FF musí znedůvěryhodnit WoSign (19:...) i StartSSL CA, což je ale příliš široké nebo zkusit experimentální alternativu https://addons.mozilla.org/en-US/firefox/addon/red-jacket/ jen pro WoSign, ano?
-
Filip JirsákStříbrný podporovatel
Navštívíte ve Firefoxu web https://www.wosign.com/, kliknete pravým tlačítkem kamkoli na stránce a z pop-up menu vyberete „Informace o stránce“. Zvolíte záložku „Bezpečnost“, tlačítko „Zobrazit certifikát“, záložka „Detaily“. Tam vidíte hierarchii jednotlivých certifikátů, na vrcholu kořenový certifikát „StartCom Certification Authority“, pod ním inkriminovaný cross-signed intermediate certifikát „Certification Authority of WoSign“, kterému nejspíš nechcete důvěřovat.
Pokud byste znedůvěryhodnil StartSSL CA, omezíte si nejspíš přístup na spoustu webů – před příchodem Let's Encrypt to byl nejpoužívanější způsob, jak získat certifikát zdarma nebo levně.
Ten add-on chápu tak, že znedůvěryhodnění intermediate certifikátu považují autoři Firefoxu za tak okrajovou záležitost, že nemá smysl tím zaplevelovat standardní GUI a proto preferují mít to v samostatném rozšíření. (Osobně si myslím, že je to nesmysl, protože Firefox v GUI nerozlišuje kořenové a intermediate certifikáty, takže by prostě stačilo, kdyby to GUI dělalo to, co má.) Zda ten add-on funguje zjistíte snadno, zkusíte znedůvěryhodnit ten intermediate certifikát WoSign (a všechny jejich kořenové certifikáty) a znovu půjdete na web https://www.wosign.com/. Firefox by vás měl nově varovat, že web používá nedůvěryhodný certifikát.
-
dem (neregistrovaný)
No, já tam právě mám hierarchii:
CA of WoSign -- 5E:68:D6:11:71:94:63:50:56:00:68:F3:3E:C9:C5:91
WoSign Class 4 EV Server CA G2 -- 3E:7C:DE:2C:5C:8F:6C:E9:20:45:11:BB:C8:78:63:6A
www.wosign.com -- 28:A6:D3:2C:2B:97:1B:89:6C:D0:DE:94:77:FD:2A:06Tj, nic se sériovým číslem 19:C2:85:30:E9:3B:36 a ani od StartSSL a to mě mate.
-
Filip JirsákStříbrný podporovatel
Protože máte ten CA of WoSign mezi důvěryhodnými autoritami. Když důvěryhodnost tohoto certifikátu zrušíte, nebude se „WoSign Class 4 EV Server CA G2“ ověřovat vůči tomuhle certifikátu, ale místo něj se použije právě ten mezilehlý podepsaný StartComem.
