Hlavní navigace

Názor k článku Trustwave vytvořili SSL certifikát umožňující špehování, teď ho revokují od Tomáš Trnka - Použitý certifikát nebyl "falešný", alespoň z X.509 pohledu....

  • Článek je starý, nové názory již nelze přidávat.
  • 10. 2. 2012 8:37

    Tomáš Trnka

    Použitý certifikát nebyl "falešný", alespoň z X.509 pohledu. Celá věc probíhá takto:

    1) TrustWave je uznávanou certifikační autoritou v Mozilla i MSRCP seznamech (kořenový certifikát SecureTrust CA)
    2) TrustWave vydala podřízený CA certifikát nějaké firmě v HSM modulu - tato podřízená CA může zase vydávat libovolné certifikáty
    3) HSM modul sedí v routeru u zákazníka a při požadavku na https://domena.tld vystaví certifikát pro domena.tld a použije jej k sestavení SSL spojení směrem ke klientovi (a na druhou stranu otevře jako každá normální proxy spojení k cílovému serveru)

    Takže z pohledu PC klienta vidím platný certifikát pro domena.tld, vystavený nějak pojmenovanou podřízenou autoritou a uznávaný mým prohlížečem, protože v něm mám kořenový certifikát TrustWave. Zjistit takovýto MITM mohu dvojím způsobem:

    1) Pamatuji si odedříve, odkud nakupuje Google certifikáty a vím, že to není tato autorita (případně mám v prohlížeči rozšíření, které to hlídá za mě)
    2) Přijde mi divné, že celý internet má certifikáty vydávané jednou a tou samou autoritou

    Nutno zdůraznit, že TrustWave bude teď nejspíše neprávem zlynčována za činnost, která je pravděpodobně provozována zcela běžně dalšími velkými autoritami. TrustWave jen "měla gule" na to, aby s tím vylezla na světlo, ale vydávání subCA externím entitám je vcelku veřejným tajemstvím (a HW řešení pro výše popsanou činnost jsou normálně komerčně dostupná).

    Pro TrustWave v tomto případě taky mluví fakt, že vydaná subCA byla uzamčena neexportovatelně v HSM modulu omezeném na tento účel. Nikdo neví, jestli nějaká jiná CA nevydává podobný certifikát jen tak na papíře a tudíž použitelný volně.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).