Názory k článku Let's Encrypt zablokoval nebezpečnou validaci pomocí self-signed certifikátu

Určitě nesou nějaký díl viny. Takový webhosting totiž například otevírá potenciál pro DoS: Útočník nahraje pro svůj hosting badguy.example self-signed certifikát vystavený na jméno legit.example. Webserver má pak dva certifikáty na stejné jméno a při příchozím požadavku rozhodne nejspíš podle pořadí v konfiguraci. Pokud dá přednost certifikátu útočníka, dokázal útočník takovým certifikátem rozbít TLS pro oběť.

Porad mi to prijde jako priamrne problem toho hostingu ...
Obecne by se to dalo dat do roviny pokud pouzivate sdileny hosting, muzete mit bezpecnostni problem diky jinym uzivatelum na nem :) Coz je jednoznacne pravda...

To sice je problém hostingu, ale certifikační autorita už ze zásady nesmí takovému incidentu dopustit. Důvěra je dána tím, že k něčemu takovému nesmí dojít. Certifikát se vystavuje na majitele a ne na "spolubydlu", který sdílí stejnou IP. Tedy CA musí myslet i na to, že někdo používá sdílený hosting.

Podle mne je to primárně problém certifikační autority, protože spoléhá na něco, co splněné být nemusí a ta certifikační autorita to nijak neovlivní. Na ten webhosting může být nasměrovaná doména, ale webová prezentace tam být nemusí, může tam být webová prezentace jenom na HTTP – v takových případech tedy nahrání toho podvodného certifikátu žádný problém nezpůsobí. Ten Ondřejův příklad sice může způsobit problém (teoreticky by nemusel, ale to by byla nepravděpodobná konstrukce), ale to je pořád problém mezi webhosterem a jeho zákazníky – problém s neoprávněným vystavením certifikátu z toho dělá až certifikační autorita.

Oprava: Jak jsem byl upozorněn e-mailem od Jozefa Suchdolského (díky!), web server při rozhodování, který certifikát klientovi poslat, nerozhoduje podle doménových jmen v certifikátech, ale podle konfigurovaného doménového jména daného virtuálního webserveru.

Uvedený DoS potenciál tedy neplatí a zároveň původní zranitelnost vyžaduje, aby útočník přejmenoval název svého virtuálního webserveru z badbuy.example na ověřovací jméno, například 773c7d.13445a­.acme.invalid.

To určitě neplatí obecně pro jakýkoli web server, ale jen pro některé konkrétní implementace – předpokládám, že v tomto případě byl myšlen Apache nebo nginx. Ona by obecně měla k sobě sedět čtveřice virtual host, název v certifikátu, SNI a hlavička Host. Ale tím, jak jsou to technologie z různé doby a na různých úrovních protokolů, ne vždycky se podaří, aby se ta shoda správně kontrolovala.

Kontroloval jsem dokumentaci pro Apache, kde je to uvedeno (třetí odstavec od konce). A vlastně to dává smysl, protože je to z hlediska toku programu přímočaré a jednodušší, proto se dá předpokládat, že takové chování bude implementovat většina webserverů. Ale výjimky se samozřejmě mohou objevit vždy.

Tohle ověřování vlastnictví domény jinak než přes DNS prostě nikdy nebude fungovat stoprocentně bezpečně, když to závisí na tom, co implementují a neimplementují různí hosteři, registry a garážoví poskytovatelé. Už máme seznam lokálních částí e-mailových adres, seznam cest na webovém serveru, teď to budou požadavky na to, jaký certifikát si někdo smí zaregistrovat… Už to ověřování DNS záznamů je podle mne na hraně, a ověřování pro žolíkové certifikáty za hranou. Nevím, odkud se bere to přesvědčení, že všichni webhosteři a registrátoři a ISP na celém světě budou implementovat nějaká omezení kvůli certifikačním autoritám.

Mnohokrát bylo (i tady na Rootu) vysvětlováno, že to smysl má a stejně se pod každým článkem najde někdo, kdo se snaží ostatní přesvědčit o opaku. Ale nechci tady tu debatu zase opakovat.

Obecně platí, že pokud útočník kompromituje můj systém tak, že je schopen mi vkládat CA, podvrhovat validaci DNSSEC a měnit nastavení DNS, pak nepomůže už vůbec nic. Tyhle technologie chrání proti kompromitované síti a dělají to velmi dobře, i když mají své mouchy.

Raději vy přestaňte psát nesmysly. Do úmoru jsou tu opakována tvrzení Madlokiho, která jsou následně vyvrácena. To vyvrácení samozřejmě není jediná svatá neomylná pravda, ale v takovém případě by bylo rozumné na ta vyvracející tvrzení reagovat – buď poukázat na nějakou chybu, která v nich je, nebo poukázat na něco podstatného, co pomíjejí. Jenom zopakovat to původní mnohokrát vyvrácené tvrzení je k ničemu. Je pochopitelné, že Petr nemá chuť opakovat stále dokola ty samé argumenty, takže jenom poukáže na to, že už se to řešilo mnohokrát, a ať si to Madloki dohledá, když ho to zajímá.

Do úmoru jsou tu opakována tvrzení Madlokiho, která jsou následně vyvrácena. To vyvrácení samozřejmě není jediná svatá neomylná pravda, ale v takovém případě by bylo rozumné na ta vyvracející tvrzení reagovat – buď poukázat na nějakou chybu, která v nich je, nebo poukázat na něco podstatného, co pomíjejí.

Jestli chcete něco podstatného, co se pomíjí, tak je to realita vývoje hrozeb. Zabezpečíme přenos šifrováním - to je bez diskuse krok k bezpečnosti. Co jsme ztratili? Devalvovali jsme získání a držení certifikátu jakožto instrumentu ověření identity výměnou za šifrování. To je jedna ztráta. Druhá ztráta je, že se hrozby přesunuly jen do jiných oblastí, které nejsou na SSL závislé - prostě programují jiné typy malware, ještě důmyslnější. Co jsme dál ztratili? To, že všichni plýtváme výkonem - jsou to nenávratně spálené tuny uhlí a uranu. No a nakonec, samotné vystavení DV certifkátu po ověření přes DNS (vůbec ACME), přesunulo ten nejslabší článek na zabezpečení DNS správy. Velcí hráči nemají DNS u Active24 apod., ale ti také měli vždy SSL pořešené. Malí, jednotlivci, ti SSL neuměli nasadit, ale zároveň se překrývají se skupinou, která tomu moc nerouzumí. Do DNS pak dobrovolně předávají přístupy kde komu, nehledě na to, že samotní registrátoři umožňují password recovery pomocí e-mailu - tedy nešifrovaným kanálem.

Celé to úsilí mi připomíná snahy EU "zlepšovat naše životy za každou cenu", a to tak, že se nestačíme už divit, jak vysoké životní náklady máme na to, abychom ráno vstali, přes den pracovali a večer si šli v klidu a míru lehnout.

Takže pokud existuje nějaký argument, tak je to globálně vynaložená energie - jak elektrická, tak úsilí lidí, aby byl přínos slepého zavádění "tak trochu" diskutabilní.

Mne by zajímalo, proč sepisujete takhle dlouhý komentář, když je podle vás úplně jedno, jestli se odešle a lidem zobrazí ten váš komentář, nebo jestli místo něj bude napsáno: „Podporuji co nejrychlejší nasazení HTTPS na všech webech.“ Pokud to podle vás jedno není, potřebujete nějaký mechanismus, kterým zajistíte, že ten váš komentář nemůže nikdo změnit při odesílání na server, a také že jej nikdo nemůže změnit při jeho stahování ze serveru do prohlížeče.

Za prvé: na aplikaci § 2950 OZ nestačí, aby druhá strana důvodně předpokládala, že jste odborník, ale musíte se za něj aktivně prohlásit: "Kdo se hlásí jako příslušník určitého stavu nebo povolání k odbornému výkonu nebo jinak vystupuje jako odborník, nahradí škodu, způsobí-li ji neúplnou nebo nesprávnou informací nebo škodlivou radou danou za odměnu v záležitosti svého vědění nebo dovednosti. Jinak se hradí jen škoda, kterou někdo informací nebo radou způsobil vědomě."

Za druhé: nikdo nepřebírá zodpovědnost, ale odpovědnost.

Za třetí: pokud někdo žaluje o náhradu škody, je důkazní břemeno na žalobci. Pokud není přenos šifrovaný, naopak žalobce možná neunese důkazní břemeno o tom, že si mohl / měl myslet, s kým zrovna komunikuje.

Rozhodně není pravdou, že někdo musí v uvedených případech šifrovat. Je to samozřejmě na výsost důležitá "slušnost". Pokud uniknou data po cestě, odpovědnost nese v první řadě ten, kdo jejich únik umožní - např. ISP, který je nechá odposlechnout. Poskytovatel obsahu samozřejmě ručí za to, že neuniknou data z jeho informačního systému, ale to už nemá nic společného s šifrováním přenosu.

V uvedených případech lze šifrování jen doporučit, ale neměl byste strašit pojmy a tvrzeními, která nejsou pravdivá.

> A udržovat dva
stejný weby, jenom s tím rozdílem, že
před vložením první položky do košíku
nebude šifrování, a ejjich přepnutí, je
zbytečná pakárna.

Kdyby jen pakárna. Ono je to i dost rizikové. Nemůžete mít HSTS a v některých případech potenciálně děláte sami na svůj web downgrade "attack".

A co by vlastně bylo na čistém HTTP? To, k čemu má přístup nepřihlášený uživatel? Zaprvé by někdo mohl teoreticky nepřihlášenému uživateli podstrčit třeba jiný popis výrobku. Zadruhé, co uděláte s tím, když na tuto stránku vleze přihlášený uživatel? Přesměrujete ho na HTTPS? Bude obsah košíku v iframe? (Hmm, tím se otevírá clickjacking...)

On by byl problém i s tím zobrazováním produktů přes HTTP. Útočník pak třeba může změnit cenu – když ji zvýší, zákazník odejde a koupí jinde. Když ji sníží, bude mít zákazník web za podvodníky, když se po přidání do košíku cena zvýší – a taky nakoupí jinde.

Navíc nevím, proč by měl kde kdo vědět, jaké zboží si v e-shopu prohlížím.

Problém by byl jak dostat zákazníka z HTTP na HTTPS, když si chce něco koupit. Netřeba měnit cenu, stačí 301 na vlastní e-shop. Chápu, že nějaké konkrétní informace šifrování nemusí potřebovat. Ale pak se nedá věřit žádnému obsahu, na který jsem přišel odkudkoliv linkem z HTTP, protože nemusím být tam, kde si myslím.

IPv6 by zjednodušoval správu, kdyby se nemusel udržovat dualstack. Největší zlo je potom když potřebujete aby měl počítat IPv6 právě když má IPv4, protože jinak to bude napůl rozbité a bude se to těžko hledat. No a v takovém případě by měl obě adresy dostat z JEDNÉ (auto)konfigurace. Takový standard jsem ale neviděl (ještě, že v serverovně si můžeme dělat i věci které nejsou součástí standardu).

"počítat" mělo být "počítač"

Pokud by měla být metoda tls-sni-01 trvale zablokována (podle mne měla, blacklist webhosterů nic neřeší), dávalo by smysl vytvořit metodu ověření https-01, která bud fungovat stejně, jako http-01, ale přes HTTPS (s libovolným certifikátem). I s ohledem na to, že je snad cílem postupně se nešifrovaného HTTP úplně zbavit – bylo by absurdní, kdyby podpora nešifrovaného HTTP musel na serverech zůstat kvůli vystavování HTTPS certifikátů…

Pokud dobře vzpomínám, tak tohle se kdysi v IETF řešilo a řešení s ověřováním přímo po HTTPS (bez ohledu na certifikát) se ukázalo jako zranitelné, počkejte si, kvůli sdíleným hostingům ;)

Problém je zde v tom, že existuje spousta hostingů, které na jedné IP adrese hostují různé množiny HTTP a HTTPS serverů. Příklad: porovnejte http://sut.sh.cvut.cz/ a https://sut.sh.cvut.cz/ (je třeba odkliknout neplatný certifikát)

Takže uživatel ovládající výchozího virtuálního https hosta by dostal ověřovací požadavky pro všechny http hostingy, které nemají https zavedeno. Čili je to obdoba aktuální zranitelnosti. Proto je při http-01 nutné projít přes port 80.

Ale určitě by bylo fajn mít možnost ověřovat pomocí web serveru bez nutnosti provozovat zastaralé HTTP. Snad někdo vymyslí dostatečně bezpečné řešení.

Přesněji ten důvod spočívá v tom, že na spoustě webů je HTTPS zprovozněno „omylem“ a vede na nějaký náhodný virtualhost. Jenže ten samý problém může nastat i s HTTP, a dá se očekávat, že s prosazováním HTTPS se ten poměr bude postupně otáčet – že bude ubývat těch serverů, kde je zapomenuté HTTPS, a bude přibývat těch, kde je zapomenuté HTTP.
Upřímně řečeno, každá metoda jiná než DNS bude vždy mít větší míru rizika, protože se tam přidává další prvek, který může mít z rozumných důvodů v moci někdo jiný, než vlastník domény. Asi by bylo rozumné, aby se každá metoda ověřování musela explicitně zapnout v DNS – tak, jako je možné pomocí CAA záznamů určit povolené certifikační autority. Ten záznam by se dal do DNS jednorázově, a rotace klíčů už se pak dá dělat normálně přes http-01, tls-sni-02 nebo hypotetické https-01 – pokud by byly v DNS povolené.

Upřímně řečeno, každá metoda jiná než DNS bude vždy mít větší míru rizika, protože se tam přidává další prvek, který může mít z rozumných důvodů v moci někdo jiný, než vlastník domény.

DNS ve skutečnost mívá v ruce také někdo jiný. Navíc je to umocněné tím, že v praxi ještě najdete laiky, kteří si svůj web spravují sami (instalace redakčního systému, správa obsahu), ale DNS už je nad jejich znalosti. Takže přístupy ke správě DNS se šíří možná ještě rychleji.

Jakmile se začne používat automatizace mezi web serverem a DNS pro vložení ověřovacího záznamu, vzniknou další možnosti kompromitace.

Používání HTTPS přešlo z roviny zejména ověření poskytovatele vydavatelem certifkátu, do prostého šifrovacího mechanismu. Z jednoho pohledu se jedná o povýšení stavu (šifrování dostupné všem), z druhého pohledu došlo ke snížení standardu (nevím s kým ve skutečnosti komunikuji).

Mně víc chybí ta druhá funkce, i když vnímám argumenty o tom, jak je nutné šifrovat za všech okolností.

Let'S Encrypt dnes vůbec tls-sni-02 nepodporuje. K prozrazení key přece vůbec nemusí dojít, útočník ho zná – útočník je v tomto případě žadatel.

Díky za pěkné shrnutí, ta verze 02 je tím pádem o něco bezpečnější, ale proti problému se sdílenými hostingy je stejně neúčinná.

Z diskuse okolo vyplynulo, ze nektere web-hostingy umoznuji nahrat libovolny HTTPS certifikat pres web rozhrani. U tls-sni-01 ale musi znat dopredu key. HTTPS client sice key efektivne prozradi, ale to uz je pozde na to, aby tam utocnik nahral certifikat pres web rozhrani. Zaroven se asi key nedozvi pro dalsi pokus (key se narozdil od tokenu nemeni).

Jaktože ne? Když vystupuji v roli žadatele o certifikát, dostanu od autority (bez ohledu na verzi 01 nebo 02) přesné zadání, jaký mám vytvořit self-signed certifikát a musím nahrát ho na hosting. Není na to žádný (zásadní) časový limit. Teprve až ho na hosting nahraju, sdělím autoritě, ať to prověří. Nemusím tedy sedět na hostingu a čekat, na co se bude autorita ptát a na základě toho vyrobit certifikát, což je útok, proti kterému verze 01 nechrání, ale verze 02 ano.

Nevsiml jsem si, ze by Lets Encrypt zakazal i tls-sni-02

To proto, že ho zatím nepodporují.

Mimochodem, metoda ověřování http-01 používá k ověření také řetězec <jméno ověřovaného souboru>.<hash klíče účtu>, což vedlo k vynálezu stateless režimu, kdy webserver pozitivně ověří jakoukoli výzvu z daného ACME účtu. Nevím, co si o tom mám myslet, na jednu stranu je to drobné zjednodušení pro administrátory, na druhou stranu to klade obrovské nároky na ochranu privátního klíče ACME účtu, protože se z něj vlastně stal zlatý klíč pro vydávání jakýchkoli certifikátů.

Ano, týká. Certbot metodu používá ve výchozím nastavení. Můžete ho zkusit ručně přepnout pomocí nějakého přepínače, nebo počkat na update, který to udělá za vás.