Turktrust subCA vydala falešné certifikáty k *.google.com, *.android.com a dalším

4. 1. 2013

Sdílet

Na mozilla.dev.tech.security.policy se objevil dost podrobný popis, jak došlo k tomu, že Google zaznamenal falešné certifikáty vystaveny na jméno *.google.com a mnohé jiné Google služby. V uvedeném mailinglistu je přímo uveden i daný falešný certifikát.

Ve zkratce:

  • Turktrust „omylem“ vydal subCA certifikát pro *.ego.gov.tr, který měl být původně jen obyčený serverový „end-entity certificate“, ale zapnutím „CA: true“ v X.509v3 rozšíření basic constraints z daného certifikátu vytvořili subCA (žádné X.509v3 name constraints nebo jiné omezení).
  • Falešný certifikát i s odpovídajícím soukromým klíčem byl nainstalován na Checkpoint zařízení, které od té doby fungovalo jako „man-in-the-middle krabička“.
  • Seznam domén v Subject Alternative Name rozšíření je natolik dlouhý a specifický, že to nemohla být náhoda.
  • Přišlo se na to patrně náhodou, nejspíš kvůli tomu, že Chrome má předdefinovány klíče CA, kterými můžou být Google služby podepisovány – a stěžuje si pak velmi důrazně, pokud hash veřejného klíče nesedí.

Pro zajímavost, zde je vyparsovaný seznam Subject Alternative Name:

DNS:*.google.com, DNS:*.android.com, DNS:*.appengine.google.com, DNS:*.cloud.google.com, DNS:*.google-analytics.com, DNS:*.google.ca, DNS:*.google.cl, DNS:*.google.co.in, DNS:*.google.co.jp, DNS:*.google.co.uk, DNS:*.google.com.ar, DNS:*.google.com.au, DNS:*.google.com.br, DNS:*.google.com.co, DNS:*.google.com.mx, DNS:*.google.com.tr, DNS:*.google.com.vn, DNS:*.google.de, DNS:*.google.es, DNS:*.google.fr, DNS:*.google.hu, DNS:*.google.it, DNS:*.google.nl, DNS:*.google.pl, DNS:*.google.pt, DNS:*.googleapis.cn, DNS:*.googlecommerce.com, DNS:*.gstatic.com, DNS:*.urchin.com, DNS:*.url.google.com, DNS:*.youtube-nocookie.com, DNS:*.youtube.com, DNS:*.ytimg.com, DNS:android.com, DNS:g.co, DNS:goo.gl, DNS:google-analytics.com, DNS:google.com, DNS:googlecommerce.com, DNS:urchin.com, DNS:youtu.be, DNS:youtube.com

Google, Mozilla i Microsoft už vydaly „security advisory“, aktualizované verze prohlížečů apod. budou brzy následovat.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?

Autor zprávičky