Kilka dni temu ujawniono spore „niedopatrzenie” ze strony firmy Symantec, który jako główny dostawca certyfikatów bezpieczeństwa (root CA) powierzył pośrednictwo walidacji certyfikatów firmie WebTrust. Pośrednik „wyraził” zgodę na wystawienia aż 108 poświadczeń bezpieczeństwa dla kilkunastu domen bez wcześniejszej weryfikacji wprowadzonych danych podczas rejestracji certyfikatu. Skończyło się na tym, że dla domen: example.com, test.com, test1.com..., aż do test11.com (bez test10.com) wydano certyfikaty bez sprawdzenia firmy lub osoby prywatnej, dla których certyfikat był generowany. W efekcie w roku 2016, 9 ze 108 certyfikatów wydano bez zgody właścicieli dla kilku powyższych domen, a pozostałych 99 certyfikatów ujrzało światło dzienne bez wcześniejszej weryfikacji firmy lub osoby prywatnej, która ubiegała się o te certyfikaty.

Oto przykładowe atrybuty dla kilku domen (C: kraj, ST: prowincja / województwo, L: lokalizacja, O: nazwa organizacji, OU: jednostka organizacyjna):

C=KR, ST=1, L=1, O=12, OU=1

C=KR, ST=1, L=1, O=1, OU=1

C=KR, ST=1, L=1, O=12, OU=1

C=KR, ST=Test1, L=Test, O=Test

Wpadka Symanteca, jak i pośrednika WebTrust jest o tyle istotna, że oszukańcze certyfikaty mogą być nadal używane i dopóki nie trafią na czarną listę deweloperów przeglądarek (np. Mozilla, Google), to mogą być wykorzystane w ataku: certyfikaty automatycznie zostaną uznane przez przeglądarki za bezpieczne, co pozwoli na ustanowienie szyfrowanego połączenia przeglądarki z serwerem kontrolowanym przez przestępców.

Steve Medin, przedstawiciel Symanteca wyraził ubolewanie nad zaistniałą sytuacją wyjaśniając, że winowajcą jest ich partner, firma WebTrust, a wszystkie certyfikaty z atrybutami „O=test” są poddawane kontroli.

AUTOR:

Adrian Ścibor

Podziel się