หน่วยงานออกใบรับรองของบราซิลที่มีเพียง Microsoft เท่านั้นที่เชื่อถือ ออกใบรับรองให้กับ google.com
(follow.agwa.name)-
Andrew Ayeragwa14h
- หน่วยงานออกใบรับรองของบราซิลแห่งหนึ่งได้รับความเชื่อถือจาก Microsoft และได้ออกใบรับรองสำหรับ google.com ที่น่าจะไม่ได้รับอนุญาต ซึ่งทำให้สามารถดักทราฟฟิกไปยัง Google ได้ใน Edge และแอปพลิเคชันอื่น ๆ บน Windows (ยกเว้น Chrome และ Firefox) Microsoft ทราบประวัติของปัญหาที่เกี่ยวข้องกับหน่วยงานออกใบรับรองนี้เป็นอย่างดี โดยได้แสดงความกังวลในปี 2021 และยังมีการยกประเด็นปัญหาเพิ่มเติมระหว่างการอภิปรายสาธารณะของ CCADB ในปี 2022 หวังว่าเหตุการณ์นี้จะเป็นตัวกระตุ้นให้เกิดการเปลี่ยนแปลง ผู้ใช้ Windows สมควรได้รับบริการที่ดีกว่านี้
-
Andrew Ayeragwa12h
- ในฐานะตัวอย่างของความไร้ความสามารถของหน่วยงานออกใบรับรอง การที่หัวข้อของใบรับรองมีหมายเลขซีเรียลของบริษัทลูกของ Google รวมอยู่ ไม่ได้แปลว่า Google เป็นผู้อนุมัติ หน่วยงานออกใบรับรองสามารถใส่อะไรก็ได้ลงในฟิลด์นั้น และหน่วยงานนี้ก็ไม่ได้ตรวจสอบอย่างชัดเจนว่าใส่อะไรลงไปในใบรับรอง
-
Andrew Ayeragwa10h
- พร็อกซีโจมตีแบบคนกลางขององค์กรสร้างความเสียหายอย่างมาก
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
ICP-Brasil ยุติการออก ใบรับรอง SSL/TLS สำหรับใช้งานสาธารณะอย่างเป็นทางการไปแล้วในเดือนตุลาคม: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
นอกจากจะเลี่ยงข้อห้ามการออกใบรับรองสาธารณะแล้ว ยังละเมิดกฎ CAA ของ Google ด้วย จึงถือว่าค่อนข้างร้ายแรง หวังว่าหน่วยงานออกใบรับรองนี้จะถูกบล็อกถาวรบน Microsoft OS
certlm.mscดูแล้ว เหมือนมีการปล่อย hotfix ออกมาแล้ว และไม่เห็น ICP Brasil อยู่ในรายการหน่วยงานออกใบรับรองรากที่เชื่อถือได้ที่แย่กว่านั้นคือ ICP-Brasil ที่ปรากฏในรายงานบั๊ก เป็น หน่วยงานที่รัฐบาลดำเนินการ ซึ่งดูแลงานด้านลายเซ็นดิจิทัลโดยรวม
เกี่ยวข้องตั้งแต่การลงลายเซ็นดิจิทัลในสัญญาหรือใบรับรอง ไปจนถึงการเข้าถึงแบบฟอร์มยื่นภาษี
google.comก็น่าจะเพียงพอที่จะแก้ปัญหาได้เรื่องนี้ดูไม่ดีเอามาก ๆ ผมนึกว่า Chrome กับ Firefox จะถอดความเชื่อถือหน่วยงานออกใบรับรองนี้ออก แต่จริง ๆ คือพวกเขาไม่ได้เชื่อถือมันอยู่แล้ว
ภาพที่ออกมาจึงยิ่งแย่สำหรับ Microsoft ที่ Microsoft/Windows กลับเชื่อถือหน่วยงานออกใบรับรองที่ผู้เล่นรายใหญ่อื่น ๆ ไม่เชื่อถือ
ดูไม่น่าจะดีขึ้นในเร็ว ๆ นี้ และทิศทางก็ยังคงลงต่อไป
เมื่อก่อนมันไม่ได้ถูกรวมเป็นที่เชื่อถือโดยปริยาย จึงต้องเพิ่มเข้า certificate store เองด้วยตนเอง แต่รัฐบาลบราซิลก็ยังยืนกรานจะใช้หน่วยงานนี้บนเว็บไซต์ทางการต่อไป
Microsoft ดูจะผ่อนปรนพอสมควรในการเชื่อถือหน่วยงานออกใบรับรอง กระบวนการตัดสินใจรวมไว้ก็ไม่โปร่งใส และ trust store ก็มีขนาดค่อนข้างใหญ่
เว็บไซต์ที่มีเหตุผลก็น่าจะใช้เฉพาะใบรับรองที่เบราว์เซอร์ โดยเฉพาะ Chrome เชื่อถืออยู่แล้ว ดังนั้นประโยชน์ของการมีหน่วยงานออกใบรับรองส่วนเกินเหล่านี้จึงดูน้อย
ผมไม่ใช่ผู้ใช้ Windows แต่อยากรู้ว่ามีวิธีให้ Windows/Edge ใช้ trust store ของ Chrome ไหม เพราะรายการของ Microsoft ดูไม่น่าไว้ใจ
ไม่ได้จะปกป้อง MSFT แต่จากประสบการณ์ขาย OS ให้ภาครัฐ ไม่มีใครอยู่ในระดับเดียวกับ Microsoft จริง ๆ ผมกลับมองว่า MSFT พิจารณาการเพิ่ม CA อย่างระมัดระวัง
ไม่แน่ใจว่าคุณรู้จักกรณี DigiNotar ซึ่งเป็น CA ที่ได้รับการรับรองจากรัฐบาลเนเธอร์แลนด์และถูกแฮ็กครั้งใหญ่หรือไม่ CA นั้นถูกเพิ่ม root certificate เข้าไปใน trust store ของเบราว์เซอร์และ OS ส่วนใหญ่ก่อนจะถูกแฮ็ก และก็ได้รับความเชื่อถืออย่างกว้างขวาง ถ้าอย่างนั้นจะบอกว่า MSFT เชื่อถือ root CA ของ DigiNotar แบบ “หละหลวม” ได้หรือ? ผมว่ากับ Mozilla Firefox ก็พูดแบบนั้นได้ยากเหมือนกัน
เห็นเรื่องแบบนี้แล้วก็สงสัยว่าทำไมใบรับรองถึงไม่ถูกเซ็นโดย เจ้าของใบรับรอง ด้วย
ตอนนี้ CA สามารถออกใบรับรองให้กับ public key และโดเมนใดก็ได้ตามต้องการ และ CA ที่เป็นอันตรายก็สามารถดักทราฟฟิกทั้งหมดได้
ถ้าในใบรับรองมีทั้งลายเซ็นของ CA และลายเซ็นของเจ้าของ public key ด้วย ก็น่าจะทำให้ CA ไม่มีอำนาจแบบนี้หรือเปล่า ผมพลาดอะไรไปไหม?
CA เอง หรือผู้โจมตีที่หลอก CA ได้สำเร็จในโลกความจริง ก็สามารถเป็น “เจ้าของ” ของคู่กุญแจที่ใช้สำหรับลายเซ็นที่สองได้
แค่เอาโครงสร้าง PKI เดิมที่ใช้กับ trust root ของ CA กลับมาใช้ซ้ำก็ยังไม่พอ จะกระจาย public key หรือใบรับรองผ่าน DNS แบบ DANE ก็ได้ แต่ไม่ใช่เรื่องง่าย และผู้มีส่วนร่วมเดิมทั้งระบบนิเวศก็ต้องเห็นพ้องกันด้วย
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
ผมชอบแนวคิดใหญ่ที่ว่าจะปรับปรุงสถานะปัจจุบันด้วยการเพิ่มความเชื่อถือแบบกระจายศูนย์และบริหารเองเข้าไปบนหรือข้าง PKI แบบรวมศูนย์ที่มีอยู่ มันอาจเป็นก้าวคั่นไปสู่โครงสร้างที่ฟื้นตัวได้อย่างเป็นระบบมากกว่า
ถ้าเจ้าของใบรับรองมี public key ที่ผ่านการยืนยันแล้วสำหรับใช้เซ็นใบรับรองอยู่ก่อน ก็แทบไม่จำเป็นต้องมี CA แล้ว
สงสัยว่าทำไมบราซิลถึงทำให้ Microsoft เชื่อถือ CA ของประเทศตัวเองได้ ทั้งที่ตัวอย่างเช่น คาซัคสถาน[1] ทำไม่ได้
วิธีแก้ที่ตรงไปตรงมาคือให้องค์กรอิสระต่าง ๆ ออก ข้ออ้างด้านความน่าเชื่อถือ สำหรับผู้ออกใบรับรอง และให้ผู้ใช้พิจารณาคำตัดสินจากหลายองค์กรร่วมกันเพื่อตัดสินว่าจะเชื่อถือหรือไม่
เส้นทางการโจมตีชัดเจนขนาดนี้ แต่กลับยังไม่มีโครงสร้างแบบนี้ก็น่าประหลาดใจ
ไม่ว่าจะสร้างแนวทาง PKI ทางเลือกแบบไหน ก็หนีปัญหาที่ Microsoft ไปทำข้อตกลงเองไม่ได้อยู่ดี
ปัญหาอยู่ที่คนที่นั่งอยู่ระหว่างคีย์บอร์ดกับเก้าอี้ ผู้ใช้แค่เรื่อง SSL ก็เข้าใจยากอยู่แล้ว เบราว์เซอร์เองก็มองว่าความต่างระหว่าง EV, DV, OV ซับซ้อนเกินไปจนซ่อนไปหมดแล้ว
ถ้าคุณย่าเปิดเว็บธนาคาร แล้วใบรับรองนั้นได้รับความเชื่อถือจาก Google, Apple, Microsoft แต่ไม่ถูกเชื่อถือโดย Mozilla จนปลั๊กอินเบราว์เซอร์แสดงสถานะความเชื่อถือเป็นสีเขียวอมเหลือง เธอจะตีความว่ายังไง?
น่าเสียดายที่ความเชื่อถือเป็นเรื่องแบบ สองค่า คุณย่ากดบุ๊กมาร์กธนาคารแล้วก็ต้องได้เห็นเว็บธนาคาร หรือไม่ก็เห็นคำเตือนน่ากลัวไปเลย
ดูจากต้นฉบับอย่างเดียว ยังบอกได้ยากว่าเรื่องนี้เป็น ความผิดพลาด หรือ เจตนา
เพราะมันการันตีว่าจะถูกจับได้ และย่อมก่อประเด็นที่คุกคามฟีเจอร์ซึ่งลงทุนลงแรงสร้างขึ้นมาพอสมควรอย่างแน่นอน
google.comโดยพลาดได้อย่างไรมีสถานการณ์ที่ไม่ใช่การกระทำโดยเจตนาอยู่จริงหรือ?
เดาเอาว่านี่ฟังดูเหมือน การสมคบกันโดยเจตนาหรือการบีบบังคับ ระหว่างรัฐบาลกับบริษัทยักษ์ใหญ่
เช่น รัฐบาลบราซิลอาจเรียกร้องให้ Microsoft อนุญาตการเข้าถึงแบบ man-in-the-middle บนอุปกรณ์ Windows เพื่อแลกกับสิทธิในการทำธุรกิจในประเทศ
โดยปกติรัฐบาลจะเดินแผนแย่ ๆ แบบเงียบ ๆ เรื่องแบบนี้ยากเกินกว่าจะทำแล้วไม่ถูกจับได้ จึงไม่ใช่วิธีที่ทำได้จริง การที่ตอนนี้คุณกำลังอ่านข้อความนี้บน HN ก็เป็นตัวอย่างนั้นเอง
น่าจะดีถ้ามีใครสักคนทำ รายชื่อผู้ออกใบรับรอง ที่เป็นของรัฐหรือเกี่ยวข้องกับรัฐขึ้นมา อยากลบทิ้งทั้งหมด
การตัดสินว่าผู้ออกใบรับรองรายใดดำเนินการโดยรัฐหรืออยู่ภายใต้การควบคุมของรัฐนั้นเป็นเรื่องยาก ชื่ออย่างเดียวไม่ได้บอกชัดเสมอไป บริษัทเอกชนอาจดำเนินงานตามคำสั่งรัฐบาลได้ และในทางกฎหมายผู้ออกใบรับรองอาจจำเป็นต้องปฏิบัติตามคำขอของรัฐด้วย
สิ่งที่ใส่ไว้ที่นี่คือหน่วยงานรัฐบาลหรือทหารที่ชัดเจนมากว่าเป็นผู้ดำเนินการผู้ออกใบรับรอง และผู้ออกใบรับรองของบราซิลที่พูดถึงครั้งนี้เป็นลำดับที่สองในรายการ
[1] https://alexsci.com/blog/ca-trust/#government-control-of-cas