Brasilianische Zertifizierungsstelle, der nur Microsoft vertraut, stellt Zertifikat für google.com aus
(follow.agwa.name)-
Andrew Ayeragwa14h
- Eine brasilianische Zertifizierungsstelle, der Microsoft vertraut, hat für
google.comein vermutlich nicht autorisiertes Zertifikat ausgestellt. Dadurch könnte der Traffic zu Google in Edge und anderen Windows-Anwendungen (außer Chrome und Firefox) abgefangen werden. Microsoft kennt die Problemhistorie dieser Zertifizierungsstelle gut, hat 2021 Bedenken geäußert, und auch in der öffentlichen CCADB-Diskussion 2022 wurden weitere Probleme angesprochen. Hoffentlich führt dieser Vorfall zu Veränderungen. Windows-Nutzer verdienen einen besseren Service.
- Eine brasilianische Zertifizierungsstelle, der Microsoft vertraut, hat für
-
Andrew Ayeragwa12h
- Als Beispiel für die Inkompetenz der Zertifizierungsstelle: Nur weil ein Zertifikatssubjekt die Seriennummer einer Google-Tochter enthält, heißt das nicht, dass es von Google genehmigt wurde. Die Zertifizierungsstelle kann in dieses Feld schreiben, was sie will, und diese Stelle prüft offensichtlich nicht sauber, was sie in Zertifikate einträgt.
-
Andrew Ayeragwa10h
- Unternehmens-MITM-Proxys sind sehr schädlich.
1 Kommentare
Meinungen auf Hacker News
ICP-Brasil hat im Oktober die Ausstellung öffentlicher SSL/TLS-Zertifikate offiziell eingestellt: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
Sie haben nicht nur das Verbot zur Ausstellung öffentlicher Zertifikate umgangen, sondern auch Googles CAA-Regeln verletzt; das ist ziemlich gravierend. Ich hoffe, dass diese Zertifizierungsstelle in Microsoft-OS dauerhaft gesperrt wird.
certlm.mscsieht es so aus, als sei bereits ein Hotfix verteilt worden; ICP Brasil ist unter den vertrauenswürdigen Stammzertifizierungsstellen nicht zu sehen.Noch schlimmer ist, dass ICP-Brasil, wie im Bugreport erwähnt, eine staatlich betriebene Stelle ist, die allgemein für digitale Signaturen zuständig ist.
Sie ist sogar daran beteiligt, Verträge oder Urkunden digital zu signieren und auf Steuererklärungen zuzugreifen.
google.comzu widerrufen.Das sieht ziemlich schlecht aus. Ich dachte, Chrome und Firefox würden dieser Zertifizierungsstelle das Vertrauen entziehen, aber sie haben ihr ohnehin schon nicht vertraut.
Dass Microsoft/Windows einer Zertifizierungsstelle vertraut hat, der andere große Player nicht vertrauen, sieht für Microsoft noch schlechter aus.
Es sieht auch nicht so aus, als würde es in absehbarer Zeit besser, und die Richtung zeigt weiterhin nach unten.
Früher war sie standardmäßig nicht vertrauenswürdig, sodass man sie manuell zum Zertifikatsspeicher hinzufügen musste, aber die brasilianische Regierung bestand darauf, diese Zertifizierungsstelle weiterhin auf offiziellen Websites zu verwenden.
Microsoft scheint beim Vertrauen in Zertifizierungsstellen ziemlich locker zu sein, die Aufnahmeentscheidungen sind nicht transparent, und der Trust Store ist ziemlich groß.
Eine vernünftige Website würde nur Zertifikate verwenden, denen Browser, insbesondere Chrome, vertrauen; der Nutzen solcher zusätzlicher Zertifizierungsstellen scheint daher gering.
Ich bin kein Windows-Nutzer, frage mich aber, ob es eine Möglichkeit gibt, unter Windows/Edge den Chrome-Trust-Store zu verwenden. Der Microsoft-Liste würde ich nur schwer vertrauen.
Ich will MSFT nicht verteidigen, aber nach meiner Erfahrung mit OS-Verkäufen an Regierungen ist niemand auf einem ähnlichen Niveau wie Microsoft. Ich würde eher davon ausgehen, dass MSFT die Aufnahme von Zertifizierungsstellen sorgfältig prüft.
Ich frage mich, ob dir DigiNotar bekannt ist, eine von der niederländischen Regierung zugelassene Zertifizierungsstelle, die schwer gehackt wurde. Diese Zertifizierungsstelle wurde gehackt, nachdem ihr Root-Zertifikat in die Trust Stores der meisten Browser und Betriebssysteme aufgenommen worden war, und sie genoss breites Vertrauen. Könnte man also sagen, MSFT habe der DigiNotar-Root-Zertifizierungsstelle „locker“ vertraut? Bei Mozilla Firefox würde ich das ebenfalls eher nicht so sehen.
Wenn ich so etwas sehe, frage ich mich, warum Zertifikate nicht auch vom Zertifikatsinhaber signiert werden.
Derzeit kann eine Zertifizierungsstelle Zertifikate für beliebige öffentliche Schlüssel und Domains ausstellen, und eine böswillige vertrauenswürdige Zertifizierungsstelle kann sämtlichen Traffic abfangen.
Wenn ein Zertifikat neben der Signatur der Zertifizierungsstelle auch die Signatur des Besitzers dieses öffentlichen Schlüssels enthielte, hätte die Zertifizierungsstelle diese Fähigkeit nicht mehr. Was übersehe ich?
Die Zertifizierungsstelle selbst oder ein Angreifer, der die Zertifizierungsstelle durch Betrug in der realen Welt täuscht, kann zum „Besitzer“ des für die zweite Signatur verwendeten Schlüsselpaares werden.
Das lässt sich nicht einfach durch Wiederverwendung der bestehenden PKI-Infrastruktur für CA-Trust-Roots erledigen. Man könnte öffentliche Schlüssel oder Zertifikate wie bei DANE über DNS verteilen, aber das ist keine einfache Sache, und die bestehenden Akteure im gesamten Ökosystem müssten zustimmen.
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
Die große Richtung, dezentralisiertes, selbst verwaltetes Vertrauen auf oder neben die bestehende zentralisierte PKI zu setzen, um den Status quo zu verbessern, gefällt mir. Das könnte ein Zwischenschritt zu einer systematisch resilienteren Struktur sein.
Wenn der Zertifikatsinhaber bereits einen verifizierten öffentlichen Schlüssel hätte, mit dem er das Zertifikat signieren kann, bräuchte man keine Zertifizierungsstelle.
Ich frage mich, warum Brasilien es geschafft hat, dass Microsoft der eigenen Zertifizierungsstelle vertraut. Kasachstan[1] zum Beispiel hat das nicht geschafft.
Eine einfache Lösung wäre, dass unabhängige Stellen Vertrauensbewertungen zu Zertifizierungsstellen abgeben und Nutzer die Einschätzungen mehrerer Stellen gemeinsam berücksichtigen, um über Vertrauen zu entscheiden.
Angesichts eines so klaren Angriffswegs ist es erstaunlich, dass es eine solche Struktur noch nicht gibt.
Egal welche alternative PKI man baut: Von dem Problem, dass Microsoft entsprechende Vereinbarungen trifft, wäre sie nicht frei.
Das Problem sitzt zwischen Tastatur und Stuhl. Nutzer tun sich schon schwer damit, SSL zu verstehen. Browser haben die Unterschiede zwischen EV, DV und OV als zu komplex eingestuft und verstecken sie inzwischen.
Wie würde es wohl ankommen, wenn die Großmutter ihre Bankseite öffnet, das Zertifikat von Google, Apple und Microsoft als vertrauenswürdig eingestuft wird, aber nicht von Mozilla, und ein Browser-Plugin dann eine grünlich-gelbe Vertrauensanzeige zeigt?
Leider ist Vertrauen binär. Wenn die Großmutter ihr Bank-Lesezeichen anklickt, sieht sie entweder die Website der Bank oder eine beängstigende Warnung.
Allein aus dem Original geht nicht klar hervor, ob das ein Versehen war oder absichtlich geschah.
Schließlich war garantiert, dass es auffliegt, und es war absehbar, dass dadurch eine Kontroverse entsteht, die genau die Funktion gefährdet, deren Einrichtung beträchtliche Kosten verursacht haben dürfte.
google.comausstellen kann.Gibt es überhaupt ein nicht böswilliges Szenario?
Spekulation, aber es klingt nach absichtlicher Absprachen oder Zwang zwischen Regierung und Großunternehmen.
Zum Beispiel könnte die brasilianische Regierung Microsoft als Gegenleistung für das Recht, im Land Geschäfte zu machen, dazu verpflichten, Man-in-the-Middle-Zugriff auf Windows-Geräte zuzulassen.
Regierungen verfolgen schlechte Pläne normalerweise im Geheimen. So etwas wäre zu schwer, unentdeckt zu bleiben, und ist daher kein praktikabler Weg. Dass wir diesen Beitrag jetzt auf HN lesen, ist genau ein Beispiel dafür.
Es wäre gut, wenn jemand eine Liste staatlicher oder staatsnaher Zertifizierungsstellen hätte. Ich würde sie am liebsten alle entfernen.
Es ist schwierig zu beurteilen, welche Zertifizierungsstellen von Regierungen betrieben oder kontrolliert werden. Am Namen ist das nicht immer klar, private Unternehmen können auf Anweisung einer Regierung handeln, und rechtlich können Zertifizierungsstellen verpflichtet sein, staatlichen Anfragen nachzukommen.
Die hier aufgeführten Stellen waren allesamt sehr eindeutig Regierungs- oder Militärorganisationen, die Zertifizierungsstellen betreiben, und die hier erwähnte brasilianische Zertifizierungsstelle ist die zweite in der Liste.
[1] https://alexsci.com/blog/ca-trust/#government-control-of-cas