1 Punkte von GN⁺ 2024-12-01 | 1 Kommentare | Auf WhatsApp teilen
  • Andrew Ayeragwa14h
    • Eine brasilianische Zertifizierungsstelle, der Microsoft vertraut, hat für google.com ein vermutlich nicht autorisiertes Zertifikat ausgestellt. Dadurch könnte der Traffic zu Google in Edge und anderen Windows-Anwendungen (außer Chrome und Firefox) abgefangen werden. Microsoft kennt die Problemhistorie dieser Zertifizierungsstelle gut, hat 2021 Bedenken geäußert, und auch in der öffentlichen CCADB-Diskussion 2022 wurden weitere Probleme angesprochen. Hoffentlich führt dieser Vorfall zu Veränderungen. Windows-Nutzer verdienen einen besseren Service.
  • Andrew Ayeragwa12h
    • Als Beispiel für die Inkompetenz der Zertifizierungsstelle: Nur weil ein Zertifikatssubjekt die Seriennummer einer Google-Tochter enthält, heißt das nicht, dass es von Google genehmigt wurde. Die Zertifizierungsstelle kann in dieses Feld schreiben, was sie will, und diese Stelle prüft offensichtlich nicht sauber, was sie in Zertifikate einträgt.
  • Andrew Ayeragwa10h
    • Unternehmens-MITM-Proxys sind sehr schädlich.

1 Kommentare

 
GN⁺ 2024-12-01
Meinungen auf Hacker News
  • ICP-Brasil hat im Oktober die Ausstellung öffentlicher SSL/TLS-Zertifikate offiziell eingestellt: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
    Sie haben nicht nur das Verbot zur Ausstellung öffentlicher Zertifikate umgangen, sondern auch Googles CAA-Regeln verletzt; das ist ziemlich gravierend. Ich hoffe, dass diese Zertifizierungsstelle in Microsoft-OS dauerhaft gesperrt wird.

    • Beim Prüfen von certlm.msc sieht es so aus, als sei bereits ein Hotfix verteilt worden; ICP Brasil ist unter den vertrauenswürdigen Stammzertifizierungsstellen nicht zu sehen.
  • Noch schlimmer ist, dass ICP-Brasil, wie im Bugreport erwähnt, eine staatlich betriebene Stelle ist, die allgemein für digitale Signaturen zuständig ist.
    Sie ist sogar daran beteiligt, Verträge oder Urkunden digital zu signieren und auf Steuererklärungen zuzugreifen.

    • Anders als bei Webbrowsern müssen Anwendungsfälle für digitale Signaturen Widerrufsprüfungen durchführen, daher dürfte es reichen, das Zertifikat für google.com zu widerrufen.
  • Das sieht ziemlich schlecht aus. Ich dachte, Chrome und Firefox würden dieser Zertifizierungsstelle das Vertrauen entziehen, aber sie haben ihr ohnehin schon nicht vertraut.
    Dass Microsoft/Windows einer Zertifizierungsstelle vertraut hat, der andere große Player nicht vertrauen, sieht für Microsoft noch schlechter aus.

    • Microsoft hat einen sehr schlechten Sicherheitsruf, und genau durch solche Dinge hat es sich diesen Ruf erworben.
      Es sieht auch nicht so aus, als würde es in absehbarer Zeit besser, und die Richtung zeigt weiterhin nach unten.
    • Ich weiß nicht, welchen Sinn eine Web-Zertifizierungsstelle hat, der nicht alle großen Player vertrauen.
    • Dass das an einem großen US-Feiertag ausgestellt wurde, sieht ebenfalls nicht gut aus. Viele Leute waren zu diesem Zeitpunkt im Urlaub.
    • Es sieht nicht nur schlecht aus, es ist einfach schlecht.
    • Lustig ist, dass dies nur das neueste Problem im Zusammenhang mit dieser Zertifizierungsstelle ist.
      Früher war sie standardmäßig nicht vertrauenswürdig, sodass man sie manuell zum Zertifikatsspeicher hinzufügen musste, aber die brasilianische Regierung bestand darauf, diese Zertifizierungsstelle weiterhin auf offiziellen Websites zu verwenden.
  • Microsoft scheint beim Vertrauen in Zertifizierungsstellen ziemlich locker zu sein, die Aufnahmeentscheidungen sind nicht transparent, und der Trust Store ist ziemlich groß.
    Eine vernünftige Website würde nur Zertifikate verwenden, denen Browser, insbesondere Chrome, vertrauen; der Nutzen solcher zusätzlicher Zertifizierungsstellen scheint daher gering.
    Ich bin kein Windows-Nutzer, frage mich aber, ob es eine Möglichkeit gibt, unter Windows/Edge den Chrome-Trust-Store zu verwenden. Der Microsoft-Liste würde ich nur schwer vertrauen.

    • Der Grund für die fehlende Transparenz ist, dass es nach Vertriebssteigerung läuft.
    • „Microsoft scheint beim Vertrauen in Zertifizierungsstellen locker zu sein“ ist eine ziemlich gewagte Formulierung. Das wirkt wie typische HN-Übertreibung.
      Ich will MSFT nicht verteidigen, aber nach meiner Erfahrung mit OS-Verkäufen an Regierungen ist niemand auf einem ähnlichen Niveau wie Microsoft. Ich würde eher davon ausgehen, dass MSFT die Aufnahme von Zertifizierungsstellen sorgfältig prüft.
      Ich frage mich, ob dir DigiNotar bekannt ist, eine von der niederländischen Regierung zugelassene Zertifizierungsstelle, die schwer gehackt wurde. Diese Zertifizierungsstelle wurde gehackt, nachdem ihr Root-Zertifikat in die Trust Stores der meisten Browser und Betriebssysteme aufgenommen worden war, und sie genoss breites Vertrauen. Könnte man also sagen, MSFT habe der DigiNotar-Root-Zertifizierungsstelle „locker“ vertraut? Bei Mozilla Firefox würde ich das ebenfalls eher nicht so sehen.
  • Wenn ich so etwas sehe, frage ich mich, warum Zertifikate nicht auch vom Zertifikatsinhaber signiert werden.
    Derzeit kann eine Zertifizierungsstelle Zertifikate für beliebige öffentliche Schlüssel und Domains ausstellen, und eine böswillige vertrauenswürdige Zertifizierungsstelle kann sämtlichen Traffic abfangen.
    Wenn ein Zertifikat neben der Signatur der Zertifizierungsstelle auch die Signatur des Besitzers dieses öffentlichen Schlüssels enthielte, hätte die Zertifizierungsstelle diese Fähigkeit nicht mehr. Was übersehe ich?

    • Die Vertrauenskette für alle Zertifikate in diesem Beispiel entsteht dadurch, dass man dem Zertifikat einer bösartigen Root-Zertifizierungsstelle vertraut.
      Die Zertifizierungsstelle selbst oder ein Angreifer, der die Zertifizierungsstelle durch Betrug in der realen Welt täuscht, kann zum „Besitzer“ des für die zweite Signatur verwendeten Schlüsselpaares werden.
    • Was fehlt, sind Infrastruktur und Verfahren für Schlüsselverteilung und Widerruf.
      Das lässt sich nicht einfach durch Wiederverwendung der bestehenden PKI-Infrastruktur für CA-Trust-Roots erledigen. Man könnte öffentliche Schlüssel oder Zertifikate wie bei DANE über DNS verteilen, aber das ist keine einfache Sache, und die bestehenden Akteure im gesamten Ökosystem müssten zustimmen.
      https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
      Die große Richtung, dezentralisiertes, selbst verwaltetes Vertrauen auf oder neben die bestehende zentralisierte PKI zu setzen, um den Status quo zu verbessern, gefällt mir. Das könnte ein Zwischenschritt zu einer systematisch resilienteren Struktur sein.
    • Der Kernzweck einer Zertifizierungsstelle ist gerade die Verifizierung öffentlicher Schlüssel.
      Wenn der Zertifikatsinhaber bereits einen verifizierten öffentlichen Schlüssel hätte, mit dem er das Zertifikat signieren kann, bräuchte man keine Zertifizierungsstelle.
  • Ich frage mich, warum Brasilien es geschafft hat, dass Microsoft der eigenen Zertifizierungsstelle vertraut. Kasachstan[1] zum Beispiel hat das nicht geschafft.

    1. https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_a...
    • Weil die brasilianische Regierung Windows-Lizenzen in großen Mengen kauft.
  • Eine einfache Lösung wäre, dass unabhängige Stellen Vertrauensbewertungen zu Zertifizierungsstellen abgeben und Nutzer die Einschätzungen mehrerer Stellen gemeinsam berücksichtigen, um über Vertrauen zu entscheiden.
    Angesichts eines so klaren Angriffswegs ist es erstaunlich, dass es eine solche Struktur noch nicht gibt.

    • Das ist weniger ein WebPKI-Problem als vielmehr ein Bug in der Client-Software.
      Egal welche alternative PKI man baut: Von dem Problem, dass Microsoft entsprechende Vereinbarungen trifft, wäre sie nicht frei.
    • Ein Browser-Plugin, das beim Rendern einer Seite mehrere Trust Stores prüft, ließe sich wohl ziemlich einfach bauen. Vielleicht gibt es so etwas sogar schon.
      Das Problem sitzt zwischen Tastatur und Stuhl. Nutzer tun sich schon schwer damit, SSL zu verstehen. Browser haben die Unterschiede zwischen EV, DV und OV als zu komplex eingestuft und verstecken sie inzwischen.
      Wie würde es wohl ankommen, wenn die Großmutter ihre Bankseite öffnet, das Zertifikat von Google, Apple und Microsoft als vertrauenswürdig eingestuft wird, aber nicht von Mozilla, und ein Browser-Plugin dann eine grünlich-gelbe Vertrauensanzeige zeigt?
      Leider ist Vertrauen binär. Wenn die Großmutter ihr Bank-Lesezeichen anklickt, sieht sie entweder die Website der Bank oder eine beängstigende Warnung.
  • Allein aus dem Original geht nicht klar hervor, ob das ein Versehen war oder absichtlich geschah.

    • Da das Zertifikat in CT eingetragen wurde, ist es vernünftigerweise wohl als Versehen zu werten.
      Schließlich war garantiert, dass es auffliegt, und es war absehbar, dass dadurch eine Kontroverse entsteht, die genau die Funktion gefährdet, deren Einrichtung beträchtliche Kosten verursacht haben dürfte.
    • Ich weiß nicht, wie eine Zertifizierungsstelle versehentlich ein Zertifikat für google.com ausstellen kann.
      Gibt es überhaupt ein nicht böswilliges Szenario?
    • Nachlässigkeit ist die Antwort.
    • Spielt das eine Rolle?
  • Spekulation, aber es klingt nach absichtlicher Absprachen oder Zwang zwischen Regierung und Großunternehmen.
    Zum Beispiel könnte die brasilianische Regierung Microsoft als Gegenleistung für das Recht, im Land Geschäfte zu machen, dazu verpflichten, Man-in-the-Middle-Zugriff auf Windows-Geräte zuzulassen.

    • Das erscheint sehr unwahrscheinlich.
      Regierungen verfolgen schlechte Pläne normalerweise im Geheimen. So etwas wäre zu schwer, unentdeckt zu bleiben, und ist daher kein praktikabler Weg. Dass wir diesen Beitrag jetzt auf HN lesen, ist genau ein Beispiel dafür.
  • Es wäre gut, wenn jemand eine Liste staatlicher oder staatsnaher Zertifizierungsstellen hätte. Ich würde sie am liebsten alle entfernen.

    • Ich habe letztes Jahr eine unvollständige Liste erstellt [1].
      Es ist schwierig zu beurteilen, welche Zertifizierungsstellen von Regierungen betrieben oder kontrolliert werden. Am Namen ist das nicht immer klar, private Unternehmen können auf Anweisung einer Regierung handeln, und rechtlich können Zertifizierungsstellen verpflichtet sein, staatlichen Anfragen nachzukommen.
      Die hier aufgeführten Stellen waren allesamt sehr eindeutig Regierungs- oder Militärorganisationen, die Zertifizierungsstellen betreiben, und die hier erwähnte brasilianische Zertifizierungsstelle ist die zweite in der Liste.
      [1] https://alexsci.com/blog/ca-trust/#government-control-of-cas