W 2016 roku Symantec wydał 108 niezweryfikowanych certyfikatów SSL

23 stycznia 2017

Kilka dni temu ujawniono spore „niedopatrzenie” ze strony firmy Symantec, który jako główny dostawca certyfikatów bezpieczeństwa (root CA) powierzył pośrednictwo walidacji certyfikatów firmie WebTrust. Pośrednik „wyraził” zgodę na wystawienia aż 108 poświadczeń bezpieczeństwa dla kilkunastu domen bez wcześniejszej weryfikacji wprowadzonych danych podczas rejestracji certyfikatu. Skończyło się na tym, że dla domen: example.com, test.com, test1.com…, aż do test11.com (bez test10.com) wydano certyfikaty bez sprawdzenia firmy lub osoby prywatnej, dla których certyfikat był generowany. W efekcie w roku 2016, 9 ze 108 certyfikatów wydano bez zgody właścicieli dla kilku powyższych domen, a pozostałych 99 certyfikatów ujrzało światło dzienne bez wcześniejszej weryfikacji firmy lub osoby prywatnej, która ubiegała się o te certyfikaty.

Oto przykładowe atrybuty dla kilku domen (C: kraj, ST: prowincja / województwo, L: lokalizacja, O: nazwa organizacji, OU: jednostka organizacyjna):

C=KR, ST=1, L=1, O=12, OU=1

C=KR, ST=1, L=1, O=1, OU=1

C=KR, ST=1, L=1, O=12, OU=1

C=KR, ST=Test1, L=Test, O=Test

Wpadka Symanteca, jak i pośrednika WebTrust jest o tyle istotna, że oszukańcze certyfikaty mogą być nadal używane i dopóki nie trafią na czarną listę deweloperów przeglądarek (np. Mozilla, Google), to mogą być wykorzystane w ataku: certyfikaty automatycznie zostaną uznane przez przeglądarki za bezpieczne, co pozwoli na ustanowienie szyfrowanego połączenia przeglądarki z serwerem kontrolowanym przez przestępców.

Steve Medin, przedstawiciel Symanteca wyraził ubolewanie nad zaistniałą sytuacją wyjaśniając, że winowajcą jest ich partner, firma WebTrust, a wszystkie certyfikaty z atrybutami „O=test” są poddawane kontroli.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
Podaj porawny e-mail, aby dostać powiadomienie o odpowiedzi na Twój post.
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ