The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Около миллиона TLS-сертификатов подлежат отзыву из-за проблем с энтропией

14.03.2019 13:27

Проблемы с энтропией при генерации серийных номеров при помощи инструментария для удостоверяющих центров EJBCA привели к формированию более миллиона TLS-сертификатов, подлежащих отзыву. Наибольшее количество проблемных сертификатов было выписано компаниями Apple, GoDaddy, Google, Actalis и SSL.com.

Проблема связана с использованием при формирования серийных номеров случайного числа, включающего 63 бита энтропии, вместо 64 бит. Соответственно сложность подбора каждого числа снизилась с 264 до 263 комбинаций (разница около 9 квинтиллионов). Требования, регламентирующие деятельность удостоверяющих центров, с сентября 2016 года предписывают применение как минимум 64-разрядных серийных номеров, поэтому все находящиеся в обиходе проблемные сертификаты подлежат отзыву и замене.

Использование 63 бит вместо 64 обусловлено тем, что при генерации серийного номера пакетом EJBCA не было учтено приведение значения к положительному целому числу. Чтобы избежать появления отрицательных значений и для соответствия требованиям спецификации в формируемом числе принудительно очищается старший бит, что должно учитываться при настройке пакета EJBCA, который поддерживает генерацию серийных номеров в диапазоне от 32 до 160 бит. Получение 64-битового значения без учёта описанной особенности (фактическое поведение при настройках по умолчанию отличается от ожидаемого) привело к тому, что значение одного бита оказалось изначально известным.

Снижение числа бит в серийном номере незначительно снижает стойкость сертификата к атакам, основанным на подборе коллизий - становится проще подобрать параметры, на основе которых можно получить поддельный сертификат с идентичной цифровой подписью. Тем не менее стойкости 63 битовой энтропии более чем достаточно для обеспечения безопасности в современных реалиях и угроза компрометации исключена даже при использовании уязвимых хэш-функций MD5 и SHA1, которые на практике не применяются и не поддерживаются браузерами с начала 2017 года.

Наибольшее число проблемных сертификатов было создано компанией Apple - около 878 тысяч TLS-сертификатов, из которых время жизни ещё не истекло для 558 тысяч. Ещё около двух тысяч проблемных сертификатов было сгенерировано для S/MIME. Сертификаты генерировались с 2016 года. В 2017 году в процессе автоматизированного тестирования было выдано предупреждение о недостаточном размере серийного номера, но данное предупреждение по недосмотру оказалось не замечено.

Некоторые другие охваченные проблемой удостоверяющие центры:

  • Компания Actalis выдала 350 тысяч проблемных сертификатов, из которых остаются активными 224 тысячи.
  • Компания GoDaddy изначально предположила наличие 1.8 млн проблемных сертификатов, но точный анализ показал, что проблема присутствовала только в 286 тысячах сертификатов, из которых 12152 остаются активными (проблемные сертификаты выписывались с 2016 года).
  • Компания Google с 2016 года выписала около 100 тысяч проблемных сертификатов, из которых активными остаются только 7100.
  • Компания SSL.com сформировала 6931 проблемных сертификатов.
  • Компания Camerfirma выдала 924 проблемных сертификата, все из которых активны.
  • Компания QuoVadis выдала 157 проблемных TSL-сертификатов и 118 сертификатов S/MIME, все из которых активны;
  • Компания Siemens сгенерировала 35 проблемных сертификатов;

Так как сертификаты должны быть отозваны в течение 5 дней (пункт 4.9.1.1 правил, регламентирующих работу удостоверяющих центров), в ближайшее время возможно появление предупреждений о проблемах с безопасным доступом к сайтам, с владельцами которых не смогли связаться удостоверяющие центры или администраторы которых не успели установить новый сертификат.

  1. Главная ссылка к новости (https://adamcaudill.com/2019/0...)
  2. OpenNews: Ожидается отзыв всех остальных сертификатов Trustico из-за полной компрометации сервера
  3. OpenNews: 23 тысячи SSL-сертификатов будут отозваны из-за инцидента в Trustico
  4. OpenNews: Google вводит в Chrome обязательное логирование для SSL-сертификатов
  5. OpenNews: Google предупредил о скором прекращении доверия ко всем сертификатам WoSign и StartCom
  6. OpenNews: Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50310-tls
Ключевые слова: tls, cert
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, eRIC (ok), 13:37, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Читал недавно на HN, хочу подчеркнуть что проблема не в EJBCA, а в неправильной настройки и эксплуатации данного продукта:
    EJBCA can be configured to generate certificate serial numbers (positive integers) from 32 to 160 bits.
     
     
  • 2.29, Moomintroll (ok), 20:32, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > хочу подчеркнуть что проблема не в EJBCA

    Точно? А это о чём?

    > Использование 63 бит вместо 64 обусловлено тем, что при генерации серийного номера пакетом EJBCA не было учтено приведение значения к положительному целому числу.

     
     
  • 3.32, eRIC (ok), 22:00, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Использование 63 бит вместо 64 обусловлено тем, что при генерации серийного номера пакетом EJBCA не было учтено приведение значения к положительному целому числу.

    ну и дальше по тексту читайте, что вы кусок из контекста вырываете:

    Чтобы избежать появления отрицательных значений и для соответствия требованиям спецификации в формируемом числе принудительно очищается старший бит, что должно учитываться при настройке пакета EJBCA, который поддерживает генерацию серийных номеров в диапазоне от 32 до 160 бит. Получение 64-битового значения без учёта описанной особенности (фактическое поведение при настройках по умолчанию отличается от ожидаемого) привело к тому, что значение одного бита оказалось изначально известным

     
     
  • 4.42, Moomintroll (ok), 11:47, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > принудительно очищается старший бит, что должно учитываться при настройке пакета EJBCA

    Т.е. по Вашему, это нормально, что "принудительно очищается старший бит" при "приведении значения к положительному целому числу" и потому надо указывать в настройках 65 бит, вместо 64? Ну возможно... Но тогда эта "особенность" должна быть указана в документации.

    "Документированный баг — это фича" ©

     

  • 1.2, A.Stahl (ok), 13:48, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    Но как же так? Ябблы всякие и прочие Google ведь деньги берут, там работают супер-пупер спецы. Это не какой-то там хипстерский Let'sEncrypt. Как так?

    А вот так.

     
     
  • 2.3, Аноним (3), 14:01, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "When Ballot 164 was passed, we confirmed that the CA Software was already configured for 64-bit serial numbers, but did not realize the serial number generation algorithm resulted in 63 bits of entropy.

    In addition to the CA Software, a validator (similar to linting tools) checks each issued certificate for compliance with SSL Baseline Requirements. Alerts were generated that the serial numbers were insufficient, however; because the checks were performed against individual certificates and not collections of certificates, the alerts were mistakenly determined to be incorrect and were suppressed."

     
     
  • 3.6, Аноним (6), 14:55, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    «Мы увидели ошибку, но, такие, да наверняка же фигня, и выключили её, ибо нефиг, да и деньги от АНБ то не лишние».
     
  • 2.7, mickvav (?), 15:03, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну так они берут деньги как раз за то, что в случае подобной фигни у них есть, кому связаться с владельцем проблемного сертификата.
     
     
  • 3.22, Аноним (22), 19:28, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно сертификаты от таких компаний берутся на пару лет чтобы поставить руками и на долго забыть про настройки. Связаться можно но не факт что пользователь будет быстро все менять. Не раз бывали новости что какая-то крупная компания вовремя не обновляла истекший сертификат. А тут уже не просто конкретную дату истечения помнить а следить за тем не отозван ли сертификат.

    С LE сертификат через пару месяцев истечет и тут можно даже ничего не отзывать при подобных проблемах так как за такое время найти коллизию скорее всего просто не успеют. И тут обычно у всех будет настроено автоматическое обновление сертификатов.

     
  • 2.9, пох (?), 15:17, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –8 +/
    а вот так, да - приходят владельцы хипстерского лентсшиткрипт - и объявляют их сертификаты превращенными в тыкву.

    что расшифровать зашифрованное тем сертификатом не владея ресурсами АНБ у тебя не получится (а анб не нужно) - их не колебет, их задача - старательно уничтожать любые бизнесы, кроме своего.

     
     
  • 3.15, Аноним (15), 16:05, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    АНБ всё делает правильно. ;-) Их "бизнес" живёт за счёт налогов тех, кого они душат.
     
  • 2.39, Gannet (ok), 05:37, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тебе как раз яркий пример того, что Let's Encrypt как раз не хипстерский, а очень даже нормуль.
     

  • 1.4, Аноним (4), 14:02, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Наибольшее число проблемных сертификатов было создано компанией Apple - около 878 тысяч TLS-сертификатов

    А куда они столько выдали? Вроде не побличный ЦА типа тавте и не хостер типа амазона/клаудфларе. На каждый свой ай-телефон? Если да, то отозвать сертификаты во всех телефонах за неделю.. ? (ну и да, оно так важно, что ахтунг, за неделю!! а не "не торопясь", за пол года?)

     
     
  • 2.5, Аноним (3), 14:17, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Apple является реселлером DigiCert
     
     
  • 3.14, Аноним (4), 16:03, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тогда наверное не реселеры, реселеры своего ЦА не имели бы.. ну в общем вопрос терминологии.

    Они  конечным пользователям продают (перепродают) сертификаты или всетаки своим устройствам и своей инфраструктуре навыдавали?

     
  • 2.10, пох (?), 15:18, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > ну и да, оно так важно, что ахтунг, за неделю!!

    гуглю очень важно чтоб именно так, да.

     

  • 1.12, бублички (?), 15:34, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    определённо клиентам этих компаний стоит нанять хороших адвокатов - неплохая возможность настричь бабла. гарантия безопасности сертификатов (compromise warranty) к примеру у того-же GoDaddy - от $100,000 до $1,000,000
     
     
  • 2.13, пох (?), 15:47, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    для этого сначала надо подделать сертификат - приступайте, приступайте.

     
     
  • 3.16, Аноним (15), 16:08, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    адвокаты в любом случае настригут.
     
     
  • 4.19, пох (?), 18:20, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > адвокаты в любом случае настригут.

    с нанимателя уж точно ;-)


     
  • 4.34, Аноним (34), 23:01, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Адвокат никогда не проигрывает, клиент – довольно часто.
     

  • 1.20, YetAnotherOnanym (ok), 18:23, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    То есть, необходимое время подбора сократилось со 100500 миллиардов лет до 9000 миллиардов лет работы всех компьютеров Земли?
     
     
  • 2.24, пох (?), 19:46, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вы таки не понимаете - нашли "страшную и опасную уязвимость", позволяющую еще на шажок пропихнуть летсшиткрипт - гугель для этого даже пожертвовал собственными сертификатами (один хрен генеримыми и выдаваемыми автоматом)

     

  • 1.23, Ivan_83 (ok), 19:38, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Фигня какая то.
    Ну выдали, ну меньше там немножко энтропии, но отзывать то зачем!?
    Они и сами успеют просрочится раньше чем это станет проблемой.
     
     
  • 2.25, пох (?), 19:48, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вот именно поэтому и надо отозвать - чтобы это таки стало проблемой для пользователей "неправильных" CA.

    "а не будут отзывать - отключим" (c)гугель

     
  • 2.27, Аноним (27), 20:07, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так модно щас. тут пацаны писали что ИТ динамически развивается и все такое... короче придумают гемор на ровном месте, лишь бы люди меньше времени жили реалом/отдыхали.
     
  • 2.33, Annual (?), 22:16, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Фигня какая то.
    > Ну выдали, ну меньше там немножко энтропии, но отзывать то зачем!?
    > Они и сами успеют просрочится раньше чем это станет проблемой.

    Действительно фигня.
    Serial Number: Used to uniquely identify the certificate within a CA's systems.
    При чём здесь вообще "надёжность"??
    Он по ходу вообще должен бы последовательно меняться. Номер сертификата. Чтобы его идентифицировать по номеру. Дeбилы решили задействовать rnd? Ну тогда и правда возникает риск коллизий... Но опять-таки проблема решается пересмотром базы сертификатов и выявлением совпадений, если есть...

     
  • 2.38, Парень что надо (?), 01:43, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ну меньше там немножко энтропии, но отзывать то зачем!?

    Ну как зачем - впихнуть новые дыры. А заодно отсеять тех, кто не заплатил.
    Неужели вы и правда подумали, что ИХ беспокоит ВАША безопасность?

     

  • 1.26, Аноним (26), 19:57, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Задолбали со своими сертификатами, куда не глянь, везде напихали свое бесполезное шифрование, еще и заставляют активно переходить на него
     
     
  • 2.28, Аноним (27), 20:17, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну да, толку-то от него. шифрование все прикрутили, а сотни миллионов учеток каждый год утекают из-за дырявях сервисов. админы этих сервисов наверное думали, что шифрование защищает от взломов :D
     
  • 2.30, Hellraiser (??), 21:17, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    правильно - честному человеку нечего скрывать
     
  • 2.31, Аноним (31), 21:34, 14/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    аноним, выступающий против шифрования? Серьезно?
     
     
  • 3.40, пох (?), 07:23, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > аноним, выступающий против шифрования? Серьезно?

    человек, на открытом форуме на сайте размещенном в подконтрольном товарищмайору ящике, после того как предъявил свой паспорт провайдеру для оформления подключения, что-то там топит за "шифрование"? Серьезней некуда, это, скорее всего, неизлечимо.

     
  • 2.37, Нононо (?), 01:41, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А самое главное - железо-то всё дырявое в закладках майора,
    думают они о безопасности пользователей, ага, верю.
     

  • 1.35, Аноним (35), 23:09, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >разница около 9 квинтиллионов

    Не школо 9 квинтиллионов, а ровно вдвое. То есть несущественная.

     
     
  • 2.46, xapienz (ok), 12:40, 16/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Между 18 квинтиллионами и 9 квинтиллионами разница 9 квинтиллионов :)
     

  • 1.41, nobody (??), 10:16, 15/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    unsigned типы - это зло! Ну да...
     
  • 1.43, InuYasha (?), 12:37, 15/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>Снижение числа бит

    Может, всё-таки битов? Это же не о бейсболе статья.

     
     
  • 2.44, Анон546 (?), 19:09, 15/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    не припомню, чтоб где-либо звучало "битов" когда-либо
     

  • 1.45, Petr (??), 21:19, 15/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Entropy - heartless bitch.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру