Hlavní navigace

Trustwave vytvořili SSL certifikát umožňující špehování, teď ho revokují

Daniel Dočekal

Certifikační autorita Trustwave je zodpovědná za vytvoření digitálního certifikátu, který byl vytvořen pro „jednoho ze zákazníků“. Ten umožňoval vydávat se za libovolný server a při nasazení v DLP (Data Loss Preventions) systému odposlouchávat jakoukoliv  SSL šifrovanou komunikaci, aniž to komunikující vůbec poznal.

Certifikační autorita Trustwave je zodpovědná za vytvoření digitálního certifikátu, který byl vytvořen pro „jednoho ze zákazníků“. Ten umožňoval vydávat se za libovolný server a při nasazení v DLP (Data Loss Preventions) systému odposlouchávat jakoukoliv  SSL šifrovanou komunikaci, aniž to komunikující vůbec poznal.

Podle Clarifying The Trustwave CA Policy Update nešlo o vládního zákazníka, byť přesně tento způsob odposlouchávání šifrované komunikace je možné použít právě v případě vládních organizací monitorujících dění na Internetu. V tomto konkrétním případě byl nasazen na vyhrazeném hardware právě pro SSL proxy a podle prohlášení Trustwave byl tento systém dostatečně zabezpečen, aby nemohlo dojít k dalšímu šíření certifikátu. Zároveň s tím byl daný systém použit pro předem dané (a omezené) účely.

Trustwave ve svém prohlášení upozorňuje, že podobný klíč již v budoucnu vydávat nebudou a systémy tohoto druhu nebudou podporovat. Vydaný certifikát byl společností revokován. 

Našli jste v článku chybu?
10. 2. 2012 8:37

Použitý certifikát nebyl "falešný", alespoň z X.509 pohledu. Celá věc probíhá takto:

1) TrustWave je uznávanou certifikační autoritou v Mozilla i MSRCP seznamech (kořenový certifikát SecureTrust CA) 2) TrustWave vydala podřízený CA certifikát nějaké firmě v HSM modulu - tato podřízená CA může zase vydávat libovolné certifikáty 3) HSM modul sedí v routeru u zákazníka a při požadavku na https://domena.tld vystaví certifikát pro domena.tld a použije jej k sestavení SSL spojení směrem ke klientovi …

11. 2. 2012 9:14
Lol Phirae (neregistrovaný)

Nevěříte těm standardně dodaným? No tak je vyházejte!

Tohle je "skvělá" rada. Už jste ji zkusil pod Windows? "Vyhozený" certifikát je zpět při nejbližší návštěvě libovolného webu, který jej používá. Takže minimálně u IE a Chrome je tahle "rada" úplně k ničemu, protože tyhle prohlížeče používají systémové certifikáty. Takže pro příště - certikáty přesuňte do “Untrusted Certificates”, nemazat, je to úplně k ničemu!!!