Według badaczy bezpieczeństwa, trzy centra certyfikacji (CA) należące do Symantec wydały ponad 100 nieprawidłowych certyfikatów bezpieczeństwa. Część z nich została wykorzystana do fałszywego oznaczenia stron, które w rzeczywistości nie spełniały norm protokołu HTTPS.
Zamieszanie spowodowane przez wydanie przez Symantec certyfikatów nie spełniających odpowiednich standardów wykrył jako pierwszy Andrew Ayer, szef i założyciel SSLMate. Jego firma zajmuje się konfiguracją i ułatwieniem procesu certyfikowania strony WWW. Oprócz tego pozwala na zarządzenie wieloma certyfikatami w przypadku większych podmiotów gospodarczych, posiadających kilkadziesiąt różnych domen. W związku z tym komunikat Ayera, że Symantec złamał podstawowe zasady certyfikacji stron, można uznać za uzasadnione.
Patrząc na wyniki śledztwa Ayera można złapać się za głowę. Jedna z największych firm cyberbezpieczeństwa, jeszcze w tym roku wydała nieznanym właścicielom domen certyfikaty za pomocą swoich centrali. Łącznie Symantec wydał 108 takich poświadczeń o korzystaniu z bezpiecznego połączenia.
Błąd firmy polega na niedokładnym sprawdzeniu kto jest właścicielem domen, które poprosiły o wydanie certyfikatu bezpieczeństwa. Dokładnie 99 z nich, zostało wydanych bez dokładnego sprawdzenia, czy właściciel domeny faktycznie istnieje, 9 z nich zostało wydane bez weryfikacji do kogo należą dane adresy internetowe. Duża część certyfikatów wydanych przez Symantec zawierała słowa „test” świadczące o tym, że pracownik CA nie dokończył pełnego procesu nadania certyfikatu. Po opublikowaniu wiadomości przez Ayera, wszystkie certyfikaty nie spełniające norm zostały wycofane.
Jest to kolejne takie zdarzenie z udziałem centr certyfikacji należących do Symantec. W 2015 z powodu nieumiejętnego operowania całym procesem prace straciło co najmniej kilka osób. Ten sam błąd pojawił się w przypadku domen opisanych przez Ayera na prywatnym blogu. Problem wydaję się tkwić nie tylko w rutynie pracowników, którzy zaakceptowali proces samej certyfikacji, ale także procesie automatyzacji przyznawania.
Jednym z problemów w czasie poświadczania, że dana strona posiada odpowiedni poziom zabezpieczenia zgodny z standardem TSL/SSL jest proces weryfikacji adresu e-mail. Opiera on się w wielu firmach sprzedających certyfikaty na prostym skanowaniu informacji z who.is. Jeżeli adres e-mail nie zawiera znaków specjalnych jak +, =, !, #, {, `, czy ^ nie powinien istnieć problem. Ayer potwierdza jednak, że dodanie + w polu adresu zupełnie zmienia dalszy proces.
Zobacz także: Network Security with OpenSSL. Cryptography for Secure CommunicationsMost applications these days are at least somewhat network aware, but how do you protect those applications against common network security threats? Many developers are turning to OpenSSL, an open source version of SSL/TLS, which is the most widely used protocol for secure network communications.* |
W jednym przypadku poprosił on o certyfikacje strony cloudpork.com, podając na stronie who.is adres e- mail alice+bob@cloudpork.com. RapidSSL, pobrało te informacje, przypisując domenę do skrzynki pocztowej bob@cloudpork.com. Rodziło to zdaniem Ayera poważne konsekwencje związane z przypisaniem stron, do adresów e-mail nieodpowiedzialnych za administracje.
Akurat ten problem został rozwiązany. Pokazuje to jednak jak trudny jest to proces i w jak wielu miejscach, nawet największe firmy mogą napotkać problemy. Szczególnie, jeżeli nie są przestrzegane podstawowe procedury lub pracownicy za nic mają ciężko wypracowane standardy. Symantec poważnie potraktował sprawę i od samego początku starał się odnaleźć jego przyczynę, świadczy o tym jego zaangażowanie w rozwiązanie problemu.
Zapis wymiany maili pomiędzy fundacją Mozilla, Ayerem, Google a przedstawicielami Symantec można znaleźć w ogólnodostępnym archiwum.
--
* - Linki afiliacyjne. Kupując książki poprzez te linki wspierasz funkcjonowanie redakcji Dziennika Internautów.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*