The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Рост атак, связанных с захватом контроля над DNS, opennews (?), 11-Янв-19, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


1. "Рост атак, связанных с захватом контроля над DNS"  –14 +/
Сообщение от Онаним (?), 11-Янв-19, 19:36 
Ну да - это тот самый случае, где летсенкрипт отсасывает, конечно. Платные сертификаты эти ребята стали бы покупать только в самых крайних случаях.
Ответить | Правка | Наверх | Cообщить модератору

2. "Рост атак, связанных с захватом контроля над DNS"  +4 +/
Сообщение от Эш Уильямс (?), 11-Янв-19, 19:49 
Это уже не проблемы letsencrypt.
Ответить | Правка | Наверх | Cообщить модератору

6. "Рост атак, связанных с захватом контроля над DNS"  –4 +/
Сообщение от Онаним (?), 11-Янв-19, 20:31 
В самом деле. Отсутствие идентификации персоны, получающей доверенный сертификат - не проблема центра сертификации. Напоминаю, что PKI - это в первую очередь chain of trust, без таковой PKI бесполезна.
Ответить | Правка | Наверх | Cообщить модератору

7. "Рост атак, связанных с захватом контроля над DNS"  –4 +/
Сообщение от Онаним (?), 11-Янв-19, 20:32 
Вообще же это может стать шагом к тому, что LE вынесут из браузеров.
Ответить | Правка | Наверх | Cообщить модератору

10. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от Эш Уильямс (?), 11-Янв-19, 21:19 
Тут скорее проблема в DNS, решать проблемы dns/dnssec/DoH/DoT на уровне сертификата бесполезны с пробитым днс.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

19. "Рост атак, связанных с захватом контроля над DNS"  +5 +/
Сообщение от Аноним (19), 11-Янв-19, 22:20 
Если злоумышленник имеет контроль над доменом, почему центр сертификации не должен выдать ему Domain Validated сертификат? Такой сертификат подтверждает именно владение доменом. А злоумышленник имеет контроль над ним. Это не проблема центра. Внезапно, да?
https://habr.com/post/425261/
> EV-сертификаты мертвы
> Десять крупнейших в мире сайтов: нигде нет EV
> Остался аргумент с фишингом. Часто заявляется, что EV каким-то образом уменьшает его. Именно такое утверждается на слайде с презентации Entrust с начала этого года:
> Здесь целая куча подтасовок, и для анализа лучше всего почитайте этот тред от Райана Слеви. Он проанализировал исследование, на котором основан слайд.
> Райан — очень умный криптограф, работающий над Chromium, и у него отличная способность чётко выводить на чистую воду любую чушь. В конце концов он резюмирует ситуацию: «В общем, это плохая статья. Но что ещё хуже, они пытаются выдать её за исследование „на данных”. При этом используют ошибочную методологию и избирательный подход, чтобы поддержать бизнес-модель, которая опирается на пользователей, несущих всю ответственность за обнаружение изменений пользовательского интерфейса».
> То есть мы возвращаемся к тому, что EV будет эффективен только если люди меняют поведение из-за изменения UI. В реальности люди не знают, на что обращать внимание, а само это изменение вообще постепенно прекращает своё существование. Либо изменение слишком малозначительное, чтобы люди обращали на него внимание.

И фишингу подвержен не только LE: https://news.netcraft.com/archives/2017/04/12/lets-encrypt-a...

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

23. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (19), 11-Янв-19, 22:30 
Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устранению последствий. Процедура отзыва и так почти не работает, а EV ещё и задержки вносит.
> Что подводит меня ко второму пункту: обновление сертификата должно быть автоматизировано, и это то, что вы просто не можете сделать, если требуется проверка личности. С сертификатом DV автоматизация делается просто, она является краеугольным камнем Let's Encrypt и действительно важным атрибутом этого сервиса. Недавно я провёл некоторое время с командой разработчиков в крупном европейском банке, и они серьёзно подумывали о том, чтобы отказаться от EV именно по этой причине. На самом деле, не только по этой причине, был ещё риск, что им понадобится очень быстро получить новый сертификат (например, из-за компрометации ключей), что гораздо сложнее для EV, чем для DV. Кроме того, долгосрочные сертификаты фактически создают дополнительные риски из-за неработающей процедуры отзыва, поэтому быстрые итерации (например, сертификаты Let's Encrypt действуют 3 месяца) становятся преимуществом. Сертификаты, действующие два года — это не преимущество, разве что с точки зрения заработать на них…

https://twitter.com/tomashala/status/1032969187789074433
> We have replaced EV cert by @letsencrypt on our payment portal for this reasons:
> - automatic renewal (no long and complicated manual process & reduces risk of expiration)
> - price
> - people don't care about cert type
> - shorter expiration=quicker restore from potential compromise

Ответить | Правка | Наверх | Cообщить модератору

32. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Онаним (?), 11-Янв-19, 23:15 
Ну, ооо "рога и копыта" у себя может хоть самоподписный сертификат на платёжке вешать, всем, кроме их полутора клиентов, строго фиолетово.
Ответить | Правка | Наверх | Cообщить модератору

51. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от пох (?), 12-Янв-19, 09:43 
> Ну, ооо "рога и копыта" у себя может хоть самоподписный сертификат на платёжке вешать

они раньше так и делали. Но великие специалисты по безопасности, "работающие над хромом" позаботились, чтобы их полтора клиента не смогли зайти на сайт с самоподписанным сертификатом, и светили свои заходы гуглю.

Ответить | Правка | Наверх | Cообщить модератору

85. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от Аноним (85), 12-Янв-19, 23:22 
А что такого сделали спкциалдистя с хромом, можно узнать ? А то вот совсем не наблюдаю проблем с корпоративными ресурсами сидящими на своем корпоративном ЦА. Да, однократно свой ЦА ставится в доверенные. (ну в виндовом домене сам, через политику, остальным руками). Вот нет проблем. совсем нет. Ни с хромом ни с мобил, ни с десктопов ни с каким другим браузером. (ествественно если сертификат своего ЦА не поставить, то ругается. Но это, как бы, ожидаемо).
Ответить | Правка | Наверх | Cообщить модератору

87. "Рост атак, связанных с захватом контроля над DNS"  –2 +/
Сообщение от пох (?), 13-Янв-19, 09:23 
> А что такого сделали спкциалдистя с хромом, можно узнать ?

вам-  нельзя.
научитесь читать и понимать прочитанное, потом приходите.

Ответить | Правка | Наверх | Cообщить модератору

95. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Аноним (95), 13-Янв-19, 13:27 
> Вот нет проблем. совсем нет. Ни с хромом ни с мобил, ни с десктопов ни с каким другим браузером.

Есть такое мнение, мил человек, что ты балабол.

Вот неполный квест который огребает отдел системного администрирования при установке сертификата собственного ЦА на различные устройства:

  - алло, а как поставить ваш сертификат на устройство фирмы триамбламмям? Инструкцию вы не написали! Те что есть не подходят! Какая ОС не знаю!
  - алло, я выяснил, у меня андройд 4.2, как поставить ваш долбанный сертификат на мой андройд 4.2? Что значит рутнуть?
  - алло, я/мне из-за вас купил/и новый неудобный смартфон и я поставил сертификат, как мне теперь снять пин? Что значит каждый раз вводить?!
  - алло, я снял пин и у меня пропал и доступ к vpn и все мои зашифрованные документы и фото моей дочки и важные записки!! не делал я бекапа!! я не админ, это вы админы и должны были делать бекапы на моем телефоне!! верните документы!!
  - алло, поставьте сертификат партнёру на другом континенте. Нет, он не говорит ни по-русски, ни по английски. Что за ОС хз, он говорит всё время разное. Но он приносит нам деньги - решите вопрос с его телефоном!
  - алло, а ваш сертификат правильно работает? а как это проверить? Нет ошибки сертификата, просто вебсокет закрывается и всё тут.
  - алло, а как проверить тестовый сайт снаружи, что значит корректно никак, выставите CRL вашего приватного ЦА в Инет! Ну или настройте OCSP. Да я срать хотел на ваши политики безопасности!


Только не надо начинать песни "а вот в нормальных конторах". Админы из нормальных контор это серьезные взрослые люди, в тексте выглядят, например, как человек под ником пох, но не как ты.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

50. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от пох (?), 12-Янв-19, 09:42 
> Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устранению последствий

и это тоже хорошо и правильно, потому что если у тебя взломали EV-защищенный сайт - надо не "быстро" замести крошки под ковер, а выключать сайт, рассылать клиентам письма счастья, и включать обратно не раньше, чем будет готов результат расследования как и что именно украдено и приняты меры.

> Процедура отзыва и так почти не работает

а вот за это спасибо скажи своим идолам из копро-рации правильных вещей с их великими "криптоспециалистами". Когда браузер постоянно лезет на миллион внешних сайтов за кучей ненужносписков, тебя не спрашивая, надо ли оно вообще и прямо сейчас, но crl мы грузить не будем, "они слишком большие" (что как раз говорит о том, что ими активно пользовались) и выбора пользователю тоже не предоставим, наш пользователь видится нам исключительно в виде огромной жопы с глазами и ушами чтоб жрать ими навоз.

> - shorter expiration=quicker restore from potential compromise

ну правильно, чего там париться - "все равно через два месяца протухнет". Всего-то два месяца, ага.

А вот возможность для пользователя который таки care about, заметить что серт не тот - эффективно ликвидирована следом за crl. Потому что он каждый раз новый. И pkp туда же.

Спасибо дорогому гуглю и его макакам - впрочем, опять же, при таких деньгах есть сомнения в действенности закона Хэнлона.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

30. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Онаним (?), 11-Янв-19, 23:11 
Потому что злоумышленнику ещё (ворованную) кредитку засветить придётся, а если там есть 3DSecure - возможно и номер (ворованного) телефона. Каждый засвет - риск.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

47. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (47), 12-Янв-19, 07:34 
> Райан — очень умный криптограф, работающий над Chromium

дальше можно не читать

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

59. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от пох (?), 12-Янв-19, 18:05 
завидовать - грех!
Ответить | Правка | Наверх | Cообщить модератору

73. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от Анонимный Алкоголик (??), 12-Янв-19, 19:33 
> Если злоумышленник имеет контроль над доменом, почему центр сертификации не должен выдать
> ему Domain Validated сертификат? Такой сертификат подтверждает именно владение доменом.
> А злоумышленник имеет контроль над ним. Это не проблема центра. Внезапно,
> да?

А если злоумышленник имеет контроль над вашей квартирой? Его должны в ней прописать? >:-) Это внезапно не проблема... Думы?

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

100. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от demon (??), 14-Янв-19, 14:36 
В данном примере случае злоумышленник скорее имеет доступ к Росреестру, и может выдать себе свидетельство ЕГРН, на основании которого в паспортном столе его пропишут в вашей квартире. А еще он может пойти к нотариусу и оформить продажу вашей квартиры, причем нотариус, проверив собственника в ЕГРН по своим каналам, спокойно заверит договор продажи. Это не проблема паспортного стола или нотариуса.
Ответить | Правка | Наверх | Cообщить модератору

103. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от Аноним (-), 15-Янв-19, 10:53 
> Его должны в ней прописать? >:-) Это внезапно не проблема... Думы?

Неправильная аналогия. Путаешь технологии. Аналогом сертификата https будет вставка своего замка в дверь. А прописка в квартире, это юридическое владение доменом. Оно никуда не девалось у тех, кого взломали. И они могут вернуть контроль над квартирой, хотя на самом деле и не теряли даже, т.к. получается не смена замка на старой двери, а новая отдельная дверь у злоумышленника (только с замком/сертом злоумышленника временная техническая проблема из-за неработающего отзыва, особенно в хроме).
Так что да, это внезапно не проблема тех мужиков, кто ставит двери/замки в квартиры (или кто просто продаёт их, если где-то таки требуют проверять документы при установке мастером). Вызывайте полицию и выпиливайте дверь и злоумышленника.

Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

25. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Аноним (25), 11-Янв-19, 22:39 
> Отсутствие идентификации персоны, получающей доверенный сертификат

Во-первых, Let's Encrypt не выдаёт EV-сертификаты, идентификация каких бы то ни было *персон* не требуется. А во-вторых, если злоумышленники получили доступ к админке сервера для изменения настроек DNS, то оригинальный владелец уже и не совсем владелец, ответственность за это несёт либо владелец (если логин-пароль увели), либо регистратор/хостер (если базу учёток стырили), но никак не центр выдачи сертификатов.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

31. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Онаним (?), 11-Янв-19, 23:12 
Если что, оплата услуги - это тоже своего рода идентификация. Да, кредитку можно свистнуть, но риск палева для конечного исполнителя-школотрона увеличивается в разы.
Ответить | Правка | Наверх | Cообщить модератору

33. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от Аноним (33), 12-Янв-19, 00:00 
Да уж прям возрастает!
В 15м году Симантек ничтоже сумняшеся выпустил wildcard на домены моих знакомых. По тыреной карточке, ага. Управление доменами и днс вернули быстро, а вот те перевыпущеные сертификаты так и были валидны до конца их срока действия (год). Саппорт на запросы об отзыве вообще не реагировал. Точнее, один раз написали на индлише что-то типа «вы не наш клиент — пойдите вон». Entrust, у которого мои друзья покупали домены, ответил что-то вроде «так это ж не мы выпустили — отозвать не можем». Вот и вся защита интырпрайз уровня.
Ответить | Правка | Наверх | Cообщить модератору

42. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от GentooBoy (ok), 12-Янв-19, 01:18 
И правильно, надо было купить у них серт тогда бы они вам помогли. А с фига ли они должны отзывать сертификат своего клиента, по просьбе анонима?
Ответить | Правка | Наверх | Cообщить модератору

48. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (47), 12-Янв-19, 07:39 
Потому что они выпустили сертификат НЕ своего клиента?
Ответить | Правка | Наверх | Cообщить модератору

60. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от их клиент (?), 12-Янв-19, 18:11 
как это не своего? Он им деньги заплатил. Причем они честно-честно провели эту самую "DV" - все ок, все сошлось.

и да, желаю вам успехов в попытках заблокировать такой же dv LE.

P.S. отдельный вопрос - что это был за ентер-прайс такой, прочавкавший одновременно и сайт и dns, чтоб ненароком не дать ему данные своей кредитки.

Ответить | Правка | Наверх | Cообщить модератору

69. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (33), 12-Янв-19, 18:46 
Ну я отзывал для своего тестового домена полгода назад. Хотел проверить, как оно работает. Процедура не очень сложная. В течение дня начала показываться плашка «revoked».
Ответить | Правка | Наверх | Cообщить модератору

81. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (33), 12-Янв-19, 22:45 
Я не писал про энтерпрайз. Это был небольшой НЕайтишный бизнес. Сертификат у ентраста взяли по рекомендации аутсорсинговой конторы, которая делала всё айти незадолго до описанных событий. Подозреваю, что рекомендация была не за просто так, учитывая цены ентраста.
Угон dns открывает много путей для махинаций. В описанном мной случае, сам домен и сайт никто не угонял — подменили A-записи всех поддоменов и честно проксили всё, кроме платёжной формы. Доступность и работоспособность процесса покупки проверялась снаружи селениумом два раза в сутки. Но всё равно узнали по звонкам возмущенных клиентов.
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

88. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от пох (?), 13-Янв-19, 09:33 
> Я не писал про энтерпрайз. Это был небольшой НЕайтишный бизнес. Сертификат у
> ентраста взяли по рекомендации аутсорсинговой конторы, которая делала всё айти незадолго
> до описанных событий. Подозреваю, что рекомендация была не за просто так,
> учитывая цены ентраста.

ну же, ну же, разоблачайте так у ж до конца - сколько же составила эта ГРОМАДНАЯ сумма - долларов 40 в год(это ж аж на пиво хватило "незапростотак", ага?) Если бы взяли ev - то это стоило бы аж $300 по нынешним ценам, и аж прям ужасные 700 до эпохи дерьма зато нахаляву.

ребята, если это для вас "сириозные деньги" - я не дам вам данных своей кредитки.

кстати, рекомендация-то правильная, учитывая что ентраст жив-здоров а покупателям симантеки светит превращение их серта в тыкву.

причем вовсе не за то что они неправильно валидировали dv, а за то что мешали правильным пацанам вести правильный бизнес.

Ответить | Правка | Наверх | Cообщить модератору

80. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (33), 12-Янв-19, 22:30 
Ещё один любитель выквзывать позицию энтерпрайзов? Олоэ, включи логику! К тебе обратился владелец домена на который ты выдал сертификат. Обратился с утверждением того, что сертификат был выпущен незаконно (после привозаконного действия в отношении владельца домена), а ты вместо того чтобы инициировать повторный validation (или даже отзыв на время разбирательства), просто отвечаешь — не мои проблемы. Искренне желаю тебе, чтобы подобный сервис ожидал тебя везде.
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

89. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от пох (?), 13-Янв-19, 09:39 
> Ещё один любитель выквзывать позицию энтерпрайзов? Олоэ, включи логику! К тебе обратился
> владелец домена на который ты выдал сертификат.

паспорт и данные принес? За валидацию (ручную, потому что это как раз EV) - заплатил? А если нет - с чего я должен ему верить что он владелец, а не как раз только что угнал dns? Или бесплатно оказывать юридическую услугу.

> что сертификат был выпущен незаконно (после привозаконного действия в отношении владельца

но ни справку из полиции, ни решение суда не принес. То есть официально действовать не стал. Потому что не умеет или потому что сам жулик? А как мне это понять?

> домена), а ты вместо того чтобы инициировать повторный validation (или даже
> отзыв на время разбирательства), просто отвечаешь — не мои проблемы. Искренне

и тем самым подставить свой бизнес в угоду чужому счастью, потому что взяв три копейки за этот dv ты вообще-то обязался кое-что предоставлять, и никакого мелкого шрифта на тему "вдруг неведомый хрен с горы пытается опротестовать вполне кошерно проведенную dv" не предусмотрел?

> желаю тебе, чтобы подобный сервис ожидал тебя везде.

я в общем, желаю "не айтишным бизнесам", сэкономившим три копейки на нормальном админе или не желавшим его слушать, поскорее обанкротиться.

Ответить | Правка | Наверх | Cообщить модератору

46. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (47), 12-Янв-19, 07:31 
Она и так бесполезна, с кучей мало кому известных центров сертификации которым авторы браузеров заставляют доверять по умолчанию.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

61. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от гуглезила (?), 12-Янв-19, 18:12 
а все известные мы уже позаблокировали

Ответить | Правка | Наверх | Cообщить модератору

52. "Рост атак, связанных с захватом контроля над DNS"  –1 +/
Сообщение от YetAnotherOnanym (ok), 12-Янв-19, 11:32 
> Отсутствие идентификации персоны, получающей доверенный сертификат - не проблема центра сертификации

Это его обязанность.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

74. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от Аноним (33), 12-Янв-19, 19:33 
Откуда ж вы такие лезете?!
Нет, нет и ещё раз нет. Идентификация личности нужна только для случая PV сертификата. Даже EV требует проверки ОРГАНИЗАЦИИ и, опционально, наличия у запрашивающего разрешения на такое действие от руководителя организации.
Ответить | Правка | Наверх | Cообщить модератору

82. "Рост атак, связанных с захватом контроля над DNS"  +4 +/
Сообщение от Ordu (ok), 12-Янв-19, 22:45 
> PKI - это в первую очередь chain of trust, без таковой PKI бесполезна.

Теория -- это такая штука... Лучший способ её употребления -- сворачивать в трубочку, наполнять чем-нибудь сознание меняющим, и курить. Если теория не меняет сознание, то значит эта теория не стоит выеденного яйца.

Но это присказка была. Подумай о доверии. Что это такое? Проверка сертификата -- это ведь лишь способ проверить что-то. Так же как ключ от двери, которой авторизует для входа, но ведь на деле замок лишь проверяет, что входящая персона имеет при себе подходящий ключ, он не проверяет личность. Системы с отпечатками пальцев или распознавания по лицу лучше, но они проверяют лишь то, что человек может оставить подходящий отпечаток пальца или выглядеть достаточно похоже. Эти системы можно обмануть, потому что они проверяют не наличие реально интересующего нас свойства (быть именно тем самым Васей, которому мы разрешили входить), а других свойств которые коррелируют со свойством "быть Васей".

Так какое именно свойство сайта мы хотим проверить. Проверку какого свойства мы подменяем проверкой сертификата? В большинстве случаев, мы хотим проверить, что это "тот самый сайт". Тот самый, это в смысле что именно тот, который мы посещали вчера. Или именно тот, о котором нам сообщила подруга. Или именно тот, который имел в виду человек, который прислал нам ссылку. Так ведь?

То есть, ситуация примерно следующая. Когда-то в прошлом интернете появился сайт. Он развивался, зарабатывал себе репутацию, и столкнувшись с сайтом мы хотим проверить, что это именно он. Так? Но как это реализовать? Есть два способа. Первый -- это работать с сайтом и проверять, действительно ли это тот сайт. Выглядит не очень практично, но именно через этот способ сайт зарабатывает себе репутацию: человек приходит на незнакомый доселе сайт, находит на нём какую-то полезнейшую для него функциональность, и говорит "это то, что я искал". Второй способ -- это DNS. У первого есть косяк в том, что другой сайт может закосить под наш, и мы можем этого не заметить. DNS делает эти вещи резко сложнее. Доменное имя -- это специальное такое свойство сайта, которое позволяет его идентифицировать. Интернет был построен на гиперссылках, и ключевая часть гиперссылки -- доменное имя. Но доменного имени недостаточно -- возможны же всякие там MitM, так ведь? Вот тут на помощь приходит letsencrypt.

Описанное выше -- не всегда удовлетворительная схема. Иногда я не готов доверять регистраторам имён, потому что они могут подложить свинью под давлением правительства (нашего или чужого) или общественного мнения. Иногда я хочу связаться не с "тем самым сайтом", а с "той самой организацией" или "с тем самым человеком", а сайт для меня лишь интерфейс, и может быть один из многих. Такие случаи менее распространены, но на такие случае есть другие механизмы. От "того самого человека" ты можешь получить сертификат на дискетке, из рук в руки (после того как ты авторизуешь его по внешности, голосу, манере двигаться, может быть задашь ему несколько контрольных вопросов, пароль-отзыв...), и установить его в свой браузер. Или сайт может использовать какие-то внешние центры авторизации -- скажем платные сертификаты от доверенного центра (от того, которому вы оба доверяете). Способы могут быть разные, но я отмечу: нет ничего удивительного в том, что какая-то схема авторизации оказывается неприменимой в ситуациях, для которых она не создавалась. Для заурядного сайта совершенно нормально верить регистратору DNS. С letsencrypt, правда, приходится ещё доверять letsencrypt. Но альтернативой будет либо доверие платным центрам выдачи сертификатов, либо self-signed сертификаты: распространять сертификаты дискетками по почте вряд ли, завязывая авторизацию на почтовый адрес -- это вряд ли существенно лучшее решение.

Но ключевая, меняющая сознание штука -- это то, что ты всегда идентифицируешь "ту сторону" по *косвенным* признакам. Вопрос в том, насколько релевантные косвенные признаки ты используешь. Вопрос в том, удалось ли вам с "той стороной" создать действительно релевантные косвенные отличительные признаки. Всегда есть некое множество возможных значений для "той стороны" и тебе надо проверить по косвенным признакам, что фактическое значение именно то, которое ты хочешь.

И вот только когда вот эта мысль вcocётся можно начинать разговоры о цепочках доверии. Сначала надо понять что есть доверие и чему именно ты хочешь или не хочешь доверять, и только после этого можно говорить о цепочках доверия.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

11. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (-), 11-Янв-19, 21:28 
Че сказать то хотел?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

15. "Рост атак, связанных с захватом контроля над DNS"  +2 +/
Сообщение от rshadow (ok), 11-Янв-19, 22:05 
это тот самый случае, где ононим отсасывает, конечно

fixed

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

28. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Crazy Alex (ok), 11-Янв-19, 22:49 
Это тот случай, где он недопилен пока - CT эту проблему вполне решает, но у letsencrypt его поддержка только в планах на 2019.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

35. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от OpenEcho (?), 12-Янв-19, 00:19 
>CT эту проблему вполне решает, но у letsencrypt его поддержка только в планах на 2019.

Гхм, гхм, вообщето не один СА не имеет право на существование если не стучит в СТ после того как StarCom был куплен китайцами и которые выдававали левые сертификаты, а LE один из первых подключился к certificate transparency

Ответить | Правка | Наверх | Cообщить модератору

36. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Crazy Alex (ok), 12-Янв-19, 00:23 
Ну вот судя по новости (и по источнику на сайте letsencrypt) это всё же в планах на 2019
Ответить | Правка | Наверх | Cообщить модератору

38. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Crazy Alex (ok), 12-Янв-19, 00:25 
Стоп, это я туплю. Там так:

We are also planning to introduce a Certificate Transparency (CT) log in 2019. All certificate authorities like Let’s Encrypt are required to submit certificates to CT logs but there are not enough stable logs in the ecosystem. As such, we are moving forward with plans to run a log which all CAs will be able to submit to.

то есть CT сейчас не то чтобы сильно юзабельным выглядит?

Ответить | Правка | Наверх | Cообщить модератору

41. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от OpenEcho (?), 12-Янв-19, 00:40 
Тезка, хорош туфту гнать если не в курсе.

Иди суда:
https://www.entrust.com/ct-search/
или суда:
https://crt.sh/
и проверь любой сертификат выданный Letsencrypt-om

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

57. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от Аноним (85), 12-Янв-19, 13:55 
В планах у них завести СВОЙ ЦТ сервер. В чужие публичные СТ они все подписанные сертификаты льют с момента своего появления. С марта 2018 (или чуть ранее, не помню) они информацию о СТ, куда записали выданный сертификат вставляют в сам сертификат. Вы это всегла можете проверить, посмотрев сертификат. Примерно с тогоже марта это делать обязаны все подписывальщики сертификатов, иначе гугл их не будет трастить в своих браузерах, но по факту многие это далать начали сильно раньше.
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

78. "Рост атак, связанных с захватом контроля над DNS"  +/
Сообщение от Аноним (78), 12-Янв-19, 21:11 
> они информацию о СТ, куда записали выданный сертификат вставляют в сам сертификат

Как посмотреть? На примере опеннетовского сертификата...

Ответить | Правка | Наверх | Cообщить модератору

86. "Рост атак, связанных с захватом контроля над DNS"  +1 +/
Сообщение от Аноним (85), 12-Янв-19, 23:46 
openssl s_client -showcerts -connect www.opennet.ru:443 </dev/null 2>/dev/null| openssl x509 -text

            CT Precertificate SCTs:
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : 74:7E:DA:83:31:AD:33:10:91:21:9C:CE:25:4F:42:70:
                                C2:BF:FD:5E:42:20:08:C6:37:35:79:E6:10:7B:CC:56
                    Timestamp : Dec  9 20:15:37.927 2018 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:46:02:21:00:CB:27:C4:50:7B:4A:E2:39:FC:85:2B:
                                3E:43:F6:91:81:6B:39:9F:53:95:1F:74:90:A0:63:EB:
                                2F:00:B4:BF:53:02:21:00:BB:11:C7:C6:45:FD:79:77:
                                0E:01:48:96:02:61:D3:53:3F:6C:20:B4:38:DD:EF:7E:
                                1B:59:23:79:E1:68:72:21
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : 29:3C:51:96:54:C8:39:65:BA:AA:50:FC:58:07:D4:B7:
                                6F:BF:58:7A:29:72:DC:A4:C3:0C:F4:E5:45:47:F4:78
                    Timestamp : Dec  9 20:15:37.512 2018 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:46:02:21:00:D1:9D:C9:36:B0:78:AE:9F:37:02:90:
                                D3:58:23:01:74:1D:3E:27:DD:E4:2F:8A:B1:CE:03:88:
                                39:DD:63:33:BD:02:21:00:EF:17:71:9F:63:C2:9C:CA:
                                3C:33:4C:45:09:76:62:85:4F:2E:4F:94:70:A4:9F:8C:
                                C5:24:B6:48:2D:C1:74:2E


дальше есть описание апи и списка публичных ЦТ, можно поискать чем дергать напрямую из указанных ЦТ, в гите имется несколько проектов для данных целей, Если слишком сложно, то можно сразу посомтреть в готовом виде собранное комодой на

https://crt.sh/?id=1015175376
тут пресертификат, (для того чтобы можно было это вставить в готовый сертификат приходится его подписывать 2 раза, с добавленным, но незаполненным полем CT, потом заполнять поле полученными данными и подписывать еще раз. первый сертификат получается нерабочим, но во втором получается ссылка на его регистрацию, т.е имя и с-по, и прочие параметры сертификата 100% засвечено в СТ, потом они его еще траз льют в СТ, но это ужн не очень обязательно. тудаже сливает и гугл всех кого нашел своим кравлером, "на всякий пожарный")
https://crt.sh/?id=1015175244
тут сам сертификат

Там же пожно посмотреть все, что есть действующего, на *.opennet.ru
https://crt.sh/?Identity=%25.opennet.ru&exclude=expired (тут не будет на сам домен, задание на дом, как посмотреть все что есть на просто opennet.ru)
ну или вообще все, что было выдано за последние года им, я там находил свои сертификаты аж за 2004 год, но добавляли их в 2016 в ЦТ, похоже некоторые ЦА слили в CT все, что ранее выдали.
https://crt.sh/?Identity=%25.opennet.ru

Я делал для своих целей собиралку по всем известным ЦТ напрямую (именно то что делают на crt.sh, но только по интересным мне доменам).. запущенная в начале августа сего года она по одному разу обходила все ЦТ до сердедины сентября. потом продолжая с того места, где остановилось, обходит за 10 минут гдето, если пускать раз в пол часа. (понятно, время обхода зависит о того, сколько успели сертификатов навыдовыать)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру