<<< Diginotar támadásAz elektronikus aláírásról, egyszerűen >>>

A Mozilla letiltotta a Diginotar nevű hitelesítés-szolgáltatót, mert a Diginotar rendszerét feltörték, és támadók kamu tanúsítványok kibocsátására használták. A letiltás egy újabb Firefox biztonsági frissítés kibocsátásával történt. A Comodo esetében erősen maliciózus megjegyzéseket tettem rá, hogy egy kamu tanúsítvány letiltása miért nem visszavonási listával történik, miért kell hozzá lecserélni a böngészőprogramot?

Itt annyiban más a helyzet, hogy a Mozilla nem csak a kamu tanúsítványokat tiltotta le, minden Diginotar tanúsítványt letiltott: A 6.0.1-es Firefoxban már nem szerepel a Diginotar rootja, így Diginotar ügyfeleinek weboldalai nem működnek Firefox alatt. A rootok körének változása a Mozilla/NSS világában szoftverfrissítéssel történik, ott ez a rendszer.

A következő gondolatok merülnek fel bennem:

  1. Rögtön egy gonosz megjegyzés: Bezzeg a Comodo-val nem mertek így keményedni... :)

    A Diginotar webszerver tanúsítvány üzletága a saját bevallásuk szerint fél évre 100 000 Euro. Ez bár elsőre soknak tűnik, azt jelenti, hogy ha egy tanúsítvány éves díja 50 Euro (egy hazai szolgáltatónál ennyi egy webszerver tanúsítvány, de külföldi szolgáltatónál jelentősen több is lehet), hogy max. 4000 tanúsítványuk lehet kibocsátva.

    A webszerver tanúsítványok világában a 4000 db nemzetközi viszonylatban nézve nagyon kevés. Így ha a Mozilla letiltja a Diginotart, akkor bár Hollandiában sokan káromkodnak, világviszonylatban semmi nem romlik el, és senkit nem érdekel az eset. Ezzel szemben, a Comodo a világ második legnagyobb CA-ja, a Verisign után a második, a másik "nagy". Ha a Mozilla letiltja a Comodot, akkor az Internet jelentős része (pl. 25 százaléka?) használhatatlanná válik a Mozilla felhasználók számára, ami már jelentős versenyhátrányba hozhatja a Mozillát.

    Nem is beszélve arról, hogy a Mozilla ekkor kárt okoz mind a CA-nak (a CA-t tönkre is teheti egy ilyen lépés), mind a CA ügyfeleinek (a kifizetett, megvásárolt tanúsítványaik használhatatlanná válhatnak), így könnyen lehet, hogy beperelik, és ki tudja, mi lesz a vége egy ilyen pernek?

  2. Egy érdemi érv: A Comodo azonnal értesítette a böngészőket az incidensről, és bevonta őket a kezelésébe, míg a Diginotar - egyelőre úgy tűnik - sunnyogott, és nem szólt senkinek az esetről. Saját maga próbálta kezelni, de külsősök kiszúrták.

    Sőt, az F-Secure gyanúja szerint korábban is törték már fel őket, így ki tudja, mekkora mit műveltek a tanúsítványaikkal.

    Könnyen lehet, hogy a Mozilla a Diginotar által tanúsított magatartás miatt szánta el magát ilyen drasztikus lépésre.

  3. Root-ot letiltani akkor szokás, ha a magánkulcs kompromittálódott, azaz illetéktelen kezekbe került. Tudtommal a kulcskompromittálódás most nem merült fel, és más olyan esetről sem tudok, amikor egy szolgáltató éles magánkulcsa valóban kompromittálódott volna. Ugyanakkor minek a támadónak a root magánkulcsa, ha a root alatt olyan tanúsítványt bocsáthat ki, amilyet csak akar?

    Ez az eset mindenképpen hasonlít a kompromittálódáshoz, így jogosnak tűnik a root letiltása.

  4. A Diginotar letiltása nem is volt annyira egyszerű, mert a rootot több más szolgáltató kereszthitelesítette, ilyen pl. az Entrust, a Cybertrust vagy a holland állami CA.

    Ha a támadó kezében marad egy érvényes tanúsítvány gmail.com domainre, hiába tiltja le valaki a Diginotar rootját, a támadó továbbra is érvényesnek mutathatná ugyanazt a tanúsítványt egy másik root szerint, pl. egy Entrust->Diginotar->gmail.com tanúsítványláncon keresztül. A Mozillába ezért beledrótozták, hogy akkor is elutasítsa a láncot, ha a Diginotar név egy köztes elemben jelenik meg.

    Ez csúf megoldás, és itt tipikusan a CA-knak kellett volna visszavonnia a kereszttanúsítványt. A Mozilla valószínűleg biztos, ami biztos alapon választotta ezt az utat, mert a többi CA-ra nincs közvetlen ráhatása.

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.