Jeszcze niedawno wydawało się, że pamiętną akcję pod kryptonimem WoSign-StartCom ciężko będzie przebić, przynajmniej w perspektywie kilku najbliższych lat. Okazuje się jednak, że za chwilę możemy mieć do czynienia z jeszcze większą operacją o roboczej nazwie Symantec 30 000.
30 000 nieprawidłowo wydanych certyfikatów SSL
Sprawa zaczęła się od wpisu Andre Ayera na jednej z grup dyskusyjnych Mozilli, który wskazał wiele nieprawidłowo wydanych przez Symanteca certyfikatów SSL. Nieprawidłowości polegały na:
- wydawaniu certyfikatów dla domeny example.com, mimo, że nie prosił o to jej właściciel (IANA);
- wydawaniu certyfikatów dla domen zawierających w nazwie słowo test (nie jest to oczywiście zabronione pod warunkiem, że dana domena istnieje i wnioskującym o certyfikat jest rzeczywisty jej właściciel – tutaj warunki te nie zostały spełnione);
- wydawaniu certyfikatów dla organizacji zawierających w nazwie słowo test (podobnie jak poprzednio, taka operacja nie jest zabroniona jednak, gdy widzimy taki podmiot certyfikatu: C=KR, ST=test, L=test, O=test, OU=test staje się jasne, że nie został on wydany zgodnie ze sztuką).
Później było już tylko gorzej. Google wraz z Mozillą rozpoczął dochodzenie mające na celu odnalezienie wszystkich błędnie wydanych przez Symanteca certyfikatów na przestrzeni ostatnich kilku lat. Według Google nazbierało się tego przynajmniej 30 000 (!).
W tym miejscu nasuwa się pytanie? Jak jeden z największych i najstarszych urzędów certyfikacji (mam na myśli VeriSign’a, którego wykupił Symantec) mógł dopuścić się takich zaniedbań, których skala wydaje się wręcz nieprawdopodobna?
Okazało się, że Symantec autoryzował kilka innych firm (CrossCert Korea Electronic Certificate Authority, Certisign Certificatadora Digital, Certsuperior S. de R. L. de C.V., Certisur S.A.) do przeprowadzania weryfikacji wniosków certyfikacyjnych, w tym certyfikatów typu Extended Validation (EV). Praktyka taka nie jest zakazana. Urząd certyfikacji, który deleguje tego rodzaju uprawnienia na inny podmiot musi mieć jednak pewność, że spełnia on odpowiednie kryteria oraz musi mieć świadomość tego, że pełna odpowiedzialność za jakikolwiek błąd partnera biznesowego spadnie zawsze na niego (na urząd certyfikacji).
Niestety, firmy które przeprowadzały weryfikacje na tych samych prawach na jakich robił to Symantec nie działały zgodnie z obowiązującymi standardami i to one są źródłem 30 000 błędnie wydanych certyfikatów. Winą za wszystko – zgodnie z obowiązującymi regułami – obarczony został Symantec.
Warto jeszcze wspomnieć, że podobne nieprawidłowości miały miejsce w przeszłości. W październiku 2015 roku Symantec po wcześniejszej prośbie (także) Mozilli i Google przyznał, że – na własne potrzeby testowe – wydał ponad 164 certyfikatów dla domen, których nie był właścicielem. Dodatkowa analiza wykazała, że 2458 certyfikatów zostało wydanych dla nieistniejących (niezarejestrowanych) domen. Po tym incydencie Google wymusiło na Symantecu, żeby każdy wydawany przez nich certyfikat lądował na serwerach Certificate Transparency. Dodatkowo, Symantec musiał wykazać środki podjęte w celu uniknięcia podobnej wpadki w przyszłości, a potwierdzić ich skuteczność miał niezależny audyt. Jak pokazał czas, nie wszystko zostało zrobione wystarczająco dobrze. Ten fakt z pewnością miał wpływ na decyzję Google.
Google przestaje ufać Symantecowi
Po tym wszystkim w czwartek Ryan Sleevi (Google) opublikował wpis pod nazwą Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates, który jasno określa zamiary Google wobec Symanteca.
Wśród szczegółów znajdziemy:
- ograniczenie maksymalnego czasu ważności certyfikatów wydawanych przez Symanteca, które będą akceptowane przez Chrome, do 9 miesięcy;
- usunięcie rozpoznawania certyfikatów typu Extended Validation (EV) co równa się z brakiem zielonego paska z nazwą organizacji w Chrome.
Pierwszy z podjętych kroków będzie realizowany stopniowo zgodnie z poniższą tabelą:
Drugi – jak określiło to Google – wchodzi w życie natychmiast. Możemy się o tym przekonać odwiedzając m.in. strony serwisów transakcyjnych popularnych polskich banków PKO BP, Pekao SA czy MBanku.
AKTUALIZACJA
Brak statusu EV dla powyższych certyfikatów SSL – zainstalowanych na stronach banków – nie jest związany z decyzją Google. Przyczyną był (i jest) błąd w Chrome.
Co dalej z certyfikatami SSL Symanteca?
Sankcje Google dotkną wszystkie urzędy certyfikacji, którymi zarządza Symantec, a więc oprócz samego Symanteca (dawniej Verisign) będą to marki takie jak GeoTrust, Thawte czy RapidSSL. Wszystkie razem posiadają one około 15% rynku certyfikatów SSL. Decyzję Google odczuje zatem wiele użytkowników Internetu.
Sam Symantec opublikował oświadczenie w którym nie zgadza się z decyzją Google i zapowiada próbę podjęcia dyskusji w tej sprawie:
Google’s statements about our issuance practices and the scope of our past mis-issuances are exaggerated and misleading. For example, Google’s claim that we have mis-issued 30,000 SSL/TLS certificates is not true. In the event Google is referring to, 127 certificates – not 30,000 – were identified as mis-issued, and they resulted in no consumer harm.
[…]
We are open to discussing the matter with Google in an effort to resolve the situation in the shared interests of our joint customers and partners.
Czy uda im się cokolwiek osiągnąć? Jeżeli nie, to jak dalej będzie wyglądała oferta certyfikatów od Symanteca? Certyfikaty z maksymalnym okresem ważności równym 9 miesięcy i brak certyfikatów EV z pewnością znacznie skomplikują działania tego urzędu certyfikacji.
Z jednej strony przedstawione przez Google propozycje są w fazie zamiarów i teoretycznie mogą jeszcze ulec zmianie. Z drugiej zielony pasek dla certyfikatów SSL EV Symanteca został już cofnięty co świadczy o dużej determinacji Google.
Otwarte pozostaje także pytanie: jakie będą decyzję pozostałych wielkich graczy tj. Microsoftu, Mozilli i Apple?
Google Chrome właśnie przestało rozpoznawać poprawnie EV Symanteca od najnowszego update w wersji 57. Świeże info i nikt jeszcze o tym nie pisze :)
Jest o tym wzmianka we wpisie:-)
Pewnie certy były za tanie, więc Google odciął. Wpadki zdarzają się każdemu, a zwłaszcza firmie, która pewnie wydała miliony certyfikatów. Tymczasem Google chce wprowadzić odpowiedzialność zbiorową, tylko dlatego, że Symantec miał 30k wpadek. Tak się nie robi! Skoro certyfikaty są jak najbardziej prawidłowe, nie wywala się z tej okazji kilku CA. Ciekawe ile to Google certyfikatów skopało w swej historii? W takich okolicznościach używanie OCSP przestaje mieć jakikolwiek sens, a certyfikaty EV to zwyczajne naciąganie.
„Brak statusu EV dla powyższych certyfikatów SSL – zainstalowanych na stronach banków – nie jest związany z decyzją Google. Przyczyną był (i jest) błąd w Chrome.”
Czy aby na pewno w Chrome? Z tego co czytałem to jednak błąd po stronie CA i kolejnością OID.
Z opisu buga wynika, że to błąd po stronie Chrome:
Przed dodaniem certyfikatu Amazona problem nie występował.
Moneetor: Najwyraźniej nie wiesz o czym piszesz, poczytaj najpierw listy Mozilli a tam np Ryan Sleevi pisze tak:
In that previous incident, Symantec took a number of steps – beginning with
reportedly immediately terminating the employees responsible and then
continuing to a comprehensive system overhaul, as detailed at
https://www.symantec.com/page.jsp?id=test-certs-update#
What is particularly concerning here is that your current explanations
suggest that either they are incomplete, or that Symantec’s previous
answers were either misleading or incorrect. This is extremely concerning,
and I’m hoping you can clarify with answers to the following questions,
independent of your ongoing investigation and as soon as possible.
Czyli zostali złapani na kłamaniu i oszukiwaniu tylko w celu zysku, a nie taka jest rola CA. Wydanie certa do google.com to też nie jest błahostka, tylko 1 (a nie 30k) cert a można pół internetu śledzić – wszystko zależy jaki cert. Wydawanie EV bez dodatkowej walidacji (Extended Validation !!!) tylko za większą sumę $$$ też chyba mieli na sumieniu w m.czasie.
https://www.bleepingcomputer.com/news/security/google-outlines-ssl-apocalypse-for-symantec-certificates/