W 2016 roku Symantec wydał 108 niezweryfikowanych certyfikatów SSL

23 stycznia, 2017

Kilka dni temu ujawniono spore „niedopatrzenie” ze strony firmy Symantec, który jako główny dostawca certyfikatów bezpieczeństwa (root CA) powierzył pośrednictwo walidacji certyfikatów firmie WebTrust. Pośrednik „wyraził” zgodę na wystawienia aż 108 poświadczeń bezpieczeństwa dla kilkunastu domen bez wcześniejszej weryfikacji wprowadzonych danych podczas rejestracji certyfikatu. Skończyło się na tym, że dla domen: example.com, test.com, test1.com…, aż do test11.com (bez test10.com) wydano certyfikaty bez sprawdzenia firmy lub osoby prywatnej, dla których certyfikat był generowany. W efekcie w roku 2016, 9 ze 108 certyfikatów wydano bez zgody właścicieli dla kilku powyższych domen, a pozostałych 99 certyfikatów ujrzało światło dzienne bez wcześniejszej weryfikacji firmy lub osoby prywatnej, która ubiegała się o te certyfikaty.

Oto przykładowe atrybuty dla kilku domen (C: kraj, ST: prowincja / województwo, L: lokalizacja, O: nazwa organizacji, OU: jednostka organizacyjna):

C=KR, ST=1, L=1, O=12, OU=1

C=KR, ST=1, L=1, O=1, OU=1

C=KR, ST=1, L=1, O=12, OU=1

C=KR, ST=Test1, L=Test, O=Test

Wpadka Symanteca, jak i pośrednika WebTrust jest o tyle istotna, że oszukańcze certyfikaty mogą być nadal używane i dopóki nie trafią na czarną listę deweloperów przeglądarek (np. Mozilla, Google), to mogą być wykorzystane w ataku: certyfikaty automatycznie zostaną uznane przez przeglądarki za bezpieczne, co pozwoli na ustanowienie szyfrowanego połączenia przeglądarki z serwerem kontrolowanym przez przestępców.

Steve Medin, przedstawiciel Symanteca wyraził ubolewanie nad zaistniałą sytuacją wyjaśniając, że winowajcą jest ich partner, firma WebTrust, a wszystkie certyfikaty z atrybutami „O=test” są poddawane kontroli.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

[ninja_tables id=”27481″]