Hlavní navigace

Trustwave vytvořili SSL certifikát umožňující špehování, teď ho revokují

Daniel Dočekal

Certifikační autorita Trustwave je zodpovědná za vytvoření digitálního certifikátu, který byl vytvořen pro „jednoho ze zákazníků“. Ten umožňoval vydávat se za libovolný server a při nasazení v DLP (Data Loss Preventions) systému odposlouchávat jakoukoliv  SSL šifrovanou komunikaci, aniž to komunikující vůbec poznal.

Certifikační autorita Trustwave je zodpovědná za vytvoření digitálního certifikátu, který byl vytvořen pro „jednoho ze zákazníků“. Ten umožňoval vydávat se za libovolný server a při nasazení v DLP (Data Loss Preventions) systému odposlouchávat jakoukoliv  SSL šifrovanou komunikaci, aniž to komunikující vůbec poznal.

Podle Clarifying The Trustwave CA Policy Update nešlo o vládního zákazníka, byť přesně tento způsob odposlouchávání šifrované komunikace je možné použít právě v případě vládních organizací monitorujících dění na Internetu. V tomto konkrétním případě byl nasazen na vyhrazeném hardware právě pro SSL proxy a podle prohlášení Trustwave byl tento systém dostatečně zabezpečen, aby nemohlo dojít k dalšímu šíření certifikátu. Zároveň s tím byl daný systém použit pro předem dané (a omezené) účely.

Trustwave ve svém prohlášení upozorňuje, že podobný klíč již v budoucnu vydávat nebudou a systémy tohoto druhu nebudou podporovat. Vydaný certifikát byl společností revokován. 

Našli jste v článku chybu?

10. 2. 2012 8:37

Použitý certifikát nebyl "falešný", alespoň z X.509 pohledu. Celá věc probíhá takto:

1) TrustWave je uznávanou certifikační autoritou v Mozilla i MSRCP seznamech (kořenový certifikát SecureTrust CA)
2) TrustWave vydala podřízený CA certifikát nějaké firmě v HSM modulu - tato podřízená CA může zase vydávat libovolné certifikáty
3) HSM modul sedí v routeru u zákazníka a při požadavku na https://domena.tld vystaví certifikát pro domena.tld a použije jej k sestavení SSL spojení směrem ke klientovi …

11. 2. 2012 9:14

Lol Phirae (neregistrovaný)

Nevěříte těm standardně dodaným? No tak je vyházejte!

Tohle je "skvělá" rada. Už jste ji zkusil pod Windows? "Vyhozený" certifikát je zpět při nejbližší návštěvě libovolného webu, který jej používá. Takže minimálně u IE a Chrome je tahle "rada" úplně k ničemu, protože tyhle prohlížeče používají systémové certifikáty. Takže pro příště - certikáty přesuňte do “Untrusted Certificates”, nemazat, je to úplně k ničemu!!!

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: 7 druhů hotových těst na vánoční cukroví

7 druhů hotových těst na vánoční cukroví

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky