Китайский удостоверяющий центр WoSign, который специализируется на выдаче бесплатных SSL-сертификатов, по ошибке выдал дублирующие сертификаты для базовых доменов Github и Университета Центральной Флориды обычному пользователю.
Ошибку обнаружил один из студентов учебного заведения — по словам сотрудника Mozilla Джерваза Маркхама (Gervase Markham), описавшего эту историю, все случилось еще в апреле 2016 года, но известно об этом стало только сейчас.
В чем проблема
Весной текущего года студент Университета Центральной Флориды подал запрос на получение сертификата для поддомена med.ucf.edu — в запросе он по ошибке указал и основной домен учебного заведения (www.ucf.edu). К удивлению исследования WoSign одобрил заявку и выдал сертификаты. Таким же образом студент смог получить сертификаты для доменов GitHub — github.com, github.io и www.github.io.
Это стало возможным из-за ошибки в работе удостоверяющего центра — он выдавал бесплатный SSL-сертификат для базового домена, если пользователь смог подтвердить контроль над поддоменом. WoSign была проинформирована об обнаруженной ошибке, однако до сих пор отозван только сертификат доменов GitHub.
Как защититься от подобных ошибок
Как заметил Маркхам, сертификат для ucf.edu так и не был отозван, что свидетельствует «об отсутствии возможности либо нежелании WoSign провести проверку базы данных на предмет подобных ошибок». Это значит, что удостоверяющий центр может и не иметь возможность обнаружить и отозвать ошибочно выданные сертификаты.
Владельцы доменов могут самостоятельно попытаться узнать о том, не был ли для них выдан еще один SSL-сертификат — если это случилось, то для злоумышленников открываются широкие возможности по проведению атак.
Для этого можно использовать сервис Certificate Transparency (CT) — он позволяет частным и корпоративным владельцам доменов видеть информацию о том, сколько сертификатов было выдано для их доменов. К сервису подключено множество удостоверяющих центров — в том числе и WoSign.
Использование CT не предотвращает использование уже выданных сертификатов, но позволяет узнать о такой возможности.
Специальные сервисы для поиска сертификатов в базе Certificate Transparency выпустили Google и Comodo.
Комментарии (22)
medved6216
30.08.2016 17:32+2Очень странно, но на один из моих старых доменов, кроме WoSign, который запрашивал я — 2 сертификата, Comodo выдало ещё 26 сертификатов, в том числе для поддоменов, по запросу cloudflaressl.com. Я пользовался некоторое время сервисом «CloudFlare», но как можно выдавать сертификаты не подтверждая статус владельца домена, ещё и параллельно действующему.
farcaller
30.08.2016 18:49+1Включенный CloudFare "владеет доменом" в контексте того что он может манипулировать зоной и всем траффиком. Это достаточно, что бы получить сертификат (даже вот в LE). А вы ему сами это разрешили.
medved6216
30.08.2016 18:57+1CloudFlare не активен на этом домене уже 2 года. Домен старый и на нем завязана только почта через другой dns-хостинг.
По факту: последний сертификат на CloudFlare получен 30.06 2016, доменом управляет dns-хостинг mail.ru и зарегистрирован он — GoDaddy. Но CloudFlare исправно получает сертификаты на него и поддомены.farcaller
30.08.2016 18:58А вот так это уже звучит странно, согласен. Пните саппорт CF для интереса? или Comodo?
medved6216
30.08.2016 20:21Провели проверку. Разобрались в чем дело. Проблема была в GoDaddy.
1. Он упорно отказывается принимать в первичный и вторичный ns серверы mail.ru. Хотя при изменении он пишет, что их только 2 (от mail.ru), но после обновления страницы отображает предыдущие, а эти пишет ниже.
2. Доверились GoDaddy и не удалили сайт с CloudFlare. Хотя сайт и стоял там в статусе «Active», но в настройках был включен «Обход серверов CloudFlare» (открывать напрямую).
Сбросили настройки ns-зоны GoDaddy по-умолчанию и дописали туда mail-серверы, удалили сайт с CloudFlare.
Судя по записям о получении сертификатов домена — проблема началась в июле 2015 года, т.к. до этого было всего два запроса от CloudFlare на получение в 2014 году, но с указанного периода каждые 3 месяца, а иногда и 2-3 раза в месяц. Доменом не пользовались с 2014 года. Оставили только из-за необходимости поддержки клиентов и регистрации на некоторых сервисах, настроив переадресацию почты на новый домен. Домен в этом году истекает, продлевать не будем, т.к. обходится он дорого теперь ($up) и нет необходимости, но информацию примем к сведению, что такое возможно.farcaller
30.08.2016 20:48Спасибо что проверили. Как видите, все не так уж и плохо, CF выписал сертификаты все же когда имел право это делать. Я его недолюбливаю по другим причинам, но тут все ок.
UbuRus
30.08.2016 19:09+2В Firefox: Preferences -> Advanced -> Certificates -> View Certificates -> Удаляем все WoSign сертификаты.
Пусть лучше показывается окно с ошибкой сертификата, чем вот так китайцы будут подкладывать нам свинью.ValdikSS
02.09.2016 22:46Неправильно. Удаление сертификата не гарантирует недоверие ему, особенно в случае WoSign, т.к. его Intermediate CA подписаны еще и StartCom (это называется кросс-подпись), и вполне может получиться так, что ваш браузер будет валидировать цепочку через StartCom.
Нужно вручную добавить сертификат в список недоверия. В Firefox, например, это делается путем снятия всех «This certificate can…» галок.
И вообще, похоже, WoSign купил StartCom по-тихому, где-то в 2015 году. Всего несколько дней назад работал сайт https://www.letsphish.org/, пытающийся объяснить ситуацию с точки зрения бывшего работника StartCom, но сейчас информация на нем убрана под угрозой судебного преследования. Есть копия: https://archive.is/8bSp6
Основная проблема в том, что WoSign не хочет отзывать эти сертификаты (для github.com/io и azure), и говорит, что компании должны написать им письмо, что, мол, не мы заказывали выпуск этих сертификатов.
dartraiden
Как минимум, им стоит проверить все сертификаты, выданные сайтам, чьи регистраторы доменных имён позволяют посторонним лицам создавать и использовать поддомены на вашем домене. Например, freedns.afraid.org
Prototik
А как максимум — поры бы отозвать CA WoSign, уж слишком много фейлов с их стороны.
rader90
Такие просчеты у многих могут случится и не один центр публиковать свои косяки не будут. Не нравится не используйте. Меня вполне устраивает данный удостоверяющий центр, так как на халяву получить для своего маленького сайта на 3 года сертификат мне нравится. У кого есть возможность те покупают у других.
Prototik
Дело не в том, что он мне «не нравится». Дело в том, что единственное, чем оперирует CA — это своим доверием. Ибо сертификаты этого CA включены во все (ну почти) браузеры и другие приложения, которые работают с ssl. Т.е. этим сертификатам доверяет весь мир. Но WoSign регулярно фейлит — то выдаёт бесплатные (sic!) сертификаты на левые домены, то вот вдруг владения поддоменом достаточно для подтверждения владения доменом… Это дискредитирует CA, т.е. он утрачивает своё доверие, следовательно я считаю, что CA WoSign должны быть удалены из списка доверенных.
Если вы так печётесь о бесплатных сертификатах — то посмотрите в сторону let's encrypt, настроить серврис апдейта сертификатов на раз в месяц — не такая уж и сложная задача.
BasilioCat
Шифрование транспортного уровня к доверию никакого отношения не имеет. Доверие в данном случае — это маркетинговая лапша от продавцов воздуха. И WoSign тут конечно им портит всю малину — вместо 200 баксов в год в былые времена теперь выдают бесплатные сертификаты, да еще на три года.
MiTM даже при наличии сертификата на чужой домен осуществить довольно сложно, если конечно речь не о спецслужбах. Ну а если вами заинтересовались они, то https вам врядли поможет, особенно против терморектального криптоанализа
А Доверие, о котором говорят эти жулики, теперь называется EV сертификатом, и вот сюрприз, стоит как сертификат у Verisign 15 лет назад — 200-300 баксов
Prototik
Само шифрование — нет конечно, доверие нужно для подтверждения, что клиент связывается с легитимным сервером. Без третьей стороны тут не обойтись.
У нас может быть вполне себе секурное шифрование с злоумышленником — именно эту проблему решает CA.
BasilioCat
Для подтверждения легитимности используются сертификаты Extended Validation («зелененькие»), с предоставлением документов о компании-владельце домена. Вот тот самый гитхаб, про который речь шла, как раз такой сертификат использует.
А у простых сертификатов проверяется то, что запрашивающий их либо
— может читать почту postmaster@ webmaster@ и пр на домене
— его е-мэйл явно указан в whois домена
— он может редактировать записи в ДНСах домена
— он может размещать файлы на веб-сайте домена
Это по-вашему гарантия легитимности? Такие сертификаты запрашивают не владельцы домена, а технический персонал, а уж доступ к одному из способов верификации может получить в общем случае еще большее количество людей.
И повторюсь — HTTPS используется не для доверия, а для невозможности перехвата паролей открытым текстом на уровне провайдера, или еще где по дороге. Для здравомыслящих людей серый замочек — не повод вводить данные кредитной карты.
symbix
Letsencrypt дает нахаляву навсегда, настроить — полчаса.
ValdikSS
Вообще-то, почти все CA публикуют все свои сертификаты на certificate transparency-серверы, чтобы, в случае, если администраторы CA что-то не досмотрели, и злоумышленники подписали себе сертификат на какой-то серьезный домен, им не принадлежащий, это мог заметить сторонний наблюдатель.
dartraiden
Игнорирование требований устранить уязвимость привело к обсуждению разработчиками Mozilla возможности исключения WoSign из поставляемого в Firefox хранилища корневых сертификатов. Решение пока не принято, но большинство участников обсуждения уже высказались за блокировку.
Prototik
Что примечательно: сам опеннет использует сертификат от WoSign