fot. DI - Nieważny certyfikat - zrzut ekranu nadesłany przez Czytelnika

fot. DI - Nieważny certyfikat - kolejny zrzut ekranu nadesłany przez Czytelnika

static.allegro.pl:443 używa nieprawidłowego certyfikatu bezpieczeństwa.

Ten certyfikat utracił ważność 2008-11-25 06:13.

(Kod błędu: sec_error_expired_certificate)

Zwróciliśmy się już do Allegro z prośbą o skomentowanie zaistniałej sytuacji. Zaraz po otrzymaniu odpowiedzi podzielimy się nią z Czytelnikami Dziennika Internautów.

fot. DI - Zrzut ekranu zrobiony przez eksperta ds. bezpieczeństwa

Atak man in the middle polega na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.

Ze zrzutu ekranu zrobionego przez eksperta kilka minut po godz. 9 rano wynika, że obecny certyfikat Allegro został wystawiony 2007-08-24 14:19:20 i jest ważny do 2009-08-23 14:19:20. Duża liczba komentarzy potwierdzających zjawisko sugeruje jednak, że problem rzeczywiście miał miejsce.

Na uwagę zasługuje też fakt wymuszania przez Allegro logowania bez SSL, nawet jeśli w formularzu zostanie zaznaczona opcja "Bezpieczne przez SSL", o czym ok. godz. 11 poinformował redakcję Michał Piszczek.

AKTUALIZACJA 1

Piotr Konieczny - inny nasz konsultant ds. bezpieczeństwa - potwierdził, że "na obecną chwilę Allegro posługuje się jak najbardziej poprawnym certyfikatem. Certyfikat został wystawiony przez zaufany podmiot (Thawte) i będzie ważny aż do 23 sierpnia 2009. Odpowiednie pole w certyfikacie Allegro zawiera także informację, że ów certyfikat, poświadcza autentyczność strony już od 24 sierpnia 2007".

Sytuacja przedstawiona przez Czytenika mogła się zdarzyć z kilku, teoretycznie możliwych, powodów. Ekspert wymienia dwa najbardziej prawdopodobne.

1. Błąd ludzki. Certyfikat Allegro faktycznie przedawnił się dziś nad ranem i zespół administratorów podmienił go na przygotowany wcześniej (a widoczny obecnie na stronie logowania). W międzyczasie kilku użytkowników widziało błąd przedawnienia. Jak tłumaczy Piotr Konieczny, generowanie certyfikatów "na zapas" ze względu na koszty nie jest popularne, ale nie jest też niemożliwe.


2. Serwer DNS, z którego korzystał dziś rano Czytelnik został zaatakowany lub podmieniony. W konsekwencji ataku IP zwracane dla domeny allegro.pl mogło prowadzić na podstawioną przez atakującego stronę. Ta oczywiście posługiwałaby się fałszywym certyfikatem. "Byłby to jednak atak wyjątkowo ślamazarny, gdyż atakujący z reguły albo w całości usuwają obsługę certyfikatów na podstawionej stronie, albo przynajmniej są w stanie tak wygenerować fałszywy certyfikat, żeby przeglądarka nie pokazywała błędu przedawnienia" - uważa Piotr Konieczny. Potwierdzenie błędu przez innych Czytelników można tłumaczyć na dwa sposoby: wszyscy korzystali z tego samego serwera DNS (np. sieci TPSA) lub zaatakowanym serwerem DNS był serwer autorytarny dla domeny allegro.pl.

"Niestety, by rozstrzygnąć, która wersja wydarzeń miała miejsce, musielibyśmy posiadać więcej wiarygodnych informacji dot. błędnego certyfikatu (np. jego odcisk). Tych niestety nie mamy - musimy więc zaufać opinii specjalistów Allegro" - stwierdził Piotr Konieczny.

Allegro zostało powiadomione o problemie dziś rano, zanim jeszcze ten tekst został opublikowany. Odpowiedzi jeszcze nie otrzymaliśmy, mimo kilku prób nawiązania kontaktu, także telefonicznych.

AKTUALIZACJA 2

Patryk Tryzubiak, PR Manager Grupy Allegro.pl, udzielił Dziennikowi Internautów następującego komentarza: "Błąd zgłoszony przez Użytkownika był związany z wymianą wygasającego certyfikatu bezpieczeństwa na nowy certyfikat. Logowanie się w trakcie wymiany certyfikatów i próba autoryzacji wygaśniętym certyfikatem SSL powodowały wyświetlenie informacji o utracie ważności certyfikatu. Zaistniałe zdarzenie nie powodowało utraty funkcjonalności serwisu. Niezbędna aktualizacja trwała około 15 minut, a certyfikat został w pełni zaktualizowany o godzinie 8.34".