1 คะแนน โดย GN⁺ 2024-12-01 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Andrew Ayeragwa14h
    • หน่วยงานออกใบรับรองของบราซิลแห่งหนึ่งได้รับความเชื่อถือจาก Microsoft และได้ออกใบรับรองสำหรับ google.com ที่น่าจะไม่ได้รับอนุญาต ซึ่งทำให้สามารถดักทราฟฟิกไปยัง Google ได้ใน Edge และแอปพลิเคชันอื่น ๆ บน Windows (ยกเว้น Chrome และ Firefox) Microsoft ทราบประวัติของปัญหาที่เกี่ยวข้องกับหน่วยงานออกใบรับรองนี้เป็นอย่างดี โดยได้แสดงความกังวลในปี 2021 และยังมีการยกประเด็นปัญหาเพิ่มเติมระหว่างการอภิปรายสาธารณะของ CCADB ในปี 2022 หวังว่าเหตุการณ์นี้จะเป็นตัวกระตุ้นให้เกิดการเปลี่ยนแปลง ผู้ใช้ Windows สมควรได้รับบริการที่ดีกว่านี้
  • Andrew Ayeragwa12h
    • ในฐานะตัวอย่างของความไร้ความสามารถของหน่วยงานออกใบรับรอง การที่หัวข้อของใบรับรองมีหมายเลขซีเรียลของบริษัทลูกของ Google รวมอยู่ ไม่ได้แปลว่า Google เป็นผู้อนุมัติ หน่วยงานออกใบรับรองสามารถใส่อะไรก็ได้ลงในฟิลด์นั้น และหน่วยงานนี้ก็ไม่ได้ตรวจสอบอย่างชัดเจนว่าใส่อะไรลงไปในใบรับรอง
  • Andrew Ayeragwa10h
    • พร็อกซีโจมตีแบบคนกลางขององค์กรสร้างความเสียหายอย่างมาก

1 ความคิดเห็น

 
GN⁺ 2024-12-01
ความคิดเห็นบน Hacker News
  • ICP-Brasil ยุติการออก ใบรับรอง SSL/TLS สำหรับใช้งานสาธารณะอย่างเป็นทางการไปแล้วในเดือนตุลาคม: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
    นอกจากจะเลี่ยงข้อห้ามการออกใบรับรองสาธารณะแล้ว ยังละเมิดกฎ CAA ของ Google ด้วย จึงถือว่าค่อนข้างร้ายแรง หวังว่าหน่วยงานออกใบรับรองนี้จะถูกบล็อกถาวรบน Microsoft OS

    • ลองเช็ก certlm.msc ดูแล้ว เหมือนมีการปล่อย hotfix ออกมาแล้ว และไม่เห็น ICP Brasil อยู่ในรายการหน่วยงานออกใบรับรองรากที่เชื่อถือได้
  • ที่แย่กว่านั้นคือ ICP-Brasil ที่ปรากฏในรายงานบั๊ก เป็น หน่วยงานที่รัฐบาลดำเนินการ ซึ่งดูแลงานด้านลายเซ็นดิจิทัลโดยรวม
    เกี่ยวข้องตั้งแต่การลงลายเซ็นดิจิทัลในสัญญาหรือใบรับรอง ไปจนถึงการเข้าถึงแบบฟอร์มยื่นภาษี

    • ต่างจากเว็บเบราว์เซอร์ กรณีใช้งาน ลายเซ็นดิจิทัล จำเป็นต้องตรวจสอบการเพิกถอน ดังนั้นการเพิกถอนใบรับรอง google.com ก็น่าจะเพียงพอที่จะแก้ปัญหาได้
  • เรื่องนี้ดูไม่ดีเอามาก ๆ ผมนึกว่า Chrome กับ Firefox จะถอดความเชื่อถือหน่วยงานออกใบรับรองนี้ออก แต่จริง ๆ คือพวกเขาไม่ได้เชื่อถือมันอยู่แล้ว
    ภาพที่ออกมาจึงยิ่งแย่สำหรับ Microsoft ที่ Microsoft/Windows กลับเชื่อถือหน่วยงานออกใบรับรองที่ผู้เล่นรายใหญ่อื่น ๆ ไม่เชื่อถือ

    • Microsoft มีชื่อเสียงด้านความปลอดภัยที่แย่มาก และก็ได้ชื่อเสียงแบบนั้นมาก็เพราะทำเรื่องทำนองนี้
      ดูไม่น่าจะดีขึ้นในเร็ว ๆ นี้ และทิศทางก็ยังคงลงต่อไป
    • ไม่เข้าใจว่าการเป็น เว็บ CA ที่ไม่ได้รับความเชื่อถือจากผู้เล่นรายใหญ่ทุกเจ้าจะมีความหมายอะไร
    • การออกใบรับรองในช่วงวันหยุดใหญ่ของสหรัฐก็ดูไม่ดีเช่นกัน เพราะเป็นช่วงที่หลายคนลาพัก
    • มันไม่ใช่แค่ดูไม่ดี แต่มันแย่จริง ๆ
    • ที่ตลกคือ นี่เป็นแค่ประเด็นล่าสุดที่เกี่ยวกับหน่วยงานออกใบรับรองนี้เท่านั้น
      เมื่อก่อนมันไม่ได้ถูกรวมเป็นที่เชื่อถือโดยปริยาย จึงต้องเพิ่มเข้า certificate store เองด้วยตนเอง แต่รัฐบาลบราซิลก็ยังยืนกรานจะใช้หน่วยงานนี้บนเว็บไซต์ทางการต่อไป
  • Microsoft ดูจะผ่อนปรนพอสมควรในการเชื่อถือหน่วยงานออกใบรับรอง กระบวนการตัดสินใจรวมไว้ก็ไม่โปร่งใส และ trust store ก็มีขนาดค่อนข้างใหญ่
    เว็บไซต์ที่มีเหตุผลก็น่าจะใช้เฉพาะใบรับรองที่เบราว์เซอร์ โดยเฉพาะ Chrome เชื่อถืออยู่แล้ว ดังนั้นประโยชน์ของการมีหน่วยงานออกใบรับรองส่วนเกินเหล่านี้จึงดูน้อย
    ผมไม่ใช่ผู้ใช้ Windows แต่อยากรู้ว่ามีวิธีให้ Windows/Edge ใช้ trust store ของ Chrome ไหม เพราะรายการของ Microsoft ดูไม่น่าไว้ใจ

    • ที่ไม่โปร่งใสก็เพราะขับเคลื่อนด้วยการ ขยายยอดขาย เป็นหลัก
    • การบอกว่า “Microsoft ดูจะผ่อนปรนในการเชื่อถือหน่วยงานออกใบรับรอง” ถือว่าแรงพอตัว ดูเป็นการพูดเกินจริงแบบ HN ทั่วไป
      ไม่ได้จะปกป้อง MSFT แต่จากประสบการณ์ขาย OS ให้ภาครัฐ ไม่มีใครอยู่ในระดับเดียวกับ Microsoft จริง ๆ ผมกลับมองว่า MSFT พิจารณาการเพิ่ม CA อย่างระมัดระวัง
      ไม่แน่ใจว่าคุณรู้จักกรณี DigiNotar ซึ่งเป็น CA ที่ได้รับการรับรองจากรัฐบาลเนเธอร์แลนด์และถูกแฮ็กครั้งใหญ่หรือไม่ CA นั้นถูกเพิ่ม root certificate เข้าไปใน trust store ของเบราว์เซอร์และ OS ส่วนใหญ่ก่อนจะถูกแฮ็ก และก็ได้รับความเชื่อถืออย่างกว้างขวาง ถ้าอย่างนั้นจะบอกว่า MSFT เชื่อถือ root CA ของ DigiNotar แบบ “หละหลวม” ได้หรือ? ผมว่ากับ Mozilla Firefox ก็พูดแบบนั้นได้ยากเหมือนกัน
  • เห็นเรื่องแบบนี้แล้วก็สงสัยว่าทำไมใบรับรองถึงไม่ถูกเซ็นโดย เจ้าของใบรับรอง ด้วย
    ตอนนี้ CA สามารถออกใบรับรองให้กับ public key และโดเมนใดก็ได้ตามต้องการ และ CA ที่เป็นอันตรายก็สามารถดักทราฟฟิกทั้งหมดได้
    ถ้าในใบรับรองมีทั้งลายเซ็นของ CA และลายเซ็นของเจ้าของ public key ด้วย ก็น่าจะทำให้ CA ไม่มีอำนาจแบบนี้หรือเปล่า ผมพลาดอะไรไปไหม?

    • สายโซ่ความเชื่อถือ ของใบรับรองทั้งหมดในตัวอย่างนั้นตั้งอยู่บนการเชื่อถือใบรับรอง root CA ที่เป็นอันตราย
      CA เอง หรือผู้โจมตีที่หลอก CA ได้สำเร็จในโลกความจริง ก็สามารถเป็น “เจ้าของ” ของคู่กุญแจที่ใช้สำหรับลายเซ็นที่สองได้
    • สิ่งที่ขาดไปคือโครงสร้างพื้นฐานและขั้นตอนสำหรับ การแจกจ่ายกุญแจและการเพิกถอน
      แค่เอาโครงสร้าง PKI เดิมที่ใช้กับ trust root ของ CA กลับมาใช้ซ้ำก็ยังไม่พอ จะกระจาย public key หรือใบรับรองผ่าน DNS แบบ DANE ก็ได้ แต่ไม่ใช่เรื่องง่าย และผู้มีส่วนร่วมเดิมทั้งระบบนิเวศก็ต้องเห็นพ้องกันด้วย
      https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
      ผมชอบแนวคิดใหญ่ที่ว่าจะปรับปรุงสถานะปัจจุบันด้วยการเพิ่มความเชื่อถือแบบกระจายศูนย์และบริหารเองเข้าไปบนหรือข้าง PKI แบบรวมศูนย์ที่มีอยู่ มันอาจเป็นก้าวคั่นไปสู่โครงสร้างที่ฟื้นตัวได้อย่างเป็นระบบมากกว่า
    • เป้าหมายหลักของ CA เองก็คือ การยืนยัน public key
      ถ้าเจ้าของใบรับรองมี public key ที่ผ่านการยืนยันแล้วสำหรับใช้เซ็นใบรับรองอยู่ก่อน ก็แทบไม่จำเป็นต้องมี CA แล้ว
  • สงสัยว่าทำไมบราซิลถึงทำให้ Microsoft เชื่อถือ CA ของประเทศตัวเองได้ ทั้งที่ตัวอย่างเช่น คาซัคสถาน[1] ทำไม่ได้

    1. https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_a...
    • เพราะรัฐบาลบราซิลซื้อ ไลเซนส์ Windows จำนวนมาก
  • วิธีแก้ที่ตรงไปตรงมาคือให้องค์กรอิสระต่าง ๆ ออก ข้ออ้างด้านความน่าเชื่อถือ สำหรับผู้ออกใบรับรอง และให้ผู้ใช้พิจารณาคำตัดสินจากหลายองค์กรร่วมกันเพื่อตัดสินว่าจะเชื่อถือหรือไม่
    เส้นทางการโจมตีชัดเจนขนาดนี้ แต่กลับยังไม่มีโครงสร้างแบบนี้ก็น่าประหลาดใจ

    • นี่ใกล้เคียงกับ บั๊กของซอฟต์แวร์ฝั่งไคลเอนต์ มากกว่าจะเป็นปัญหาของ WebPKI
      ไม่ว่าจะสร้างแนวทาง PKI ทางเลือกแบบไหน ก็หนีปัญหาที่ Microsoft ไปทำข้อตกลงเองไม่ได้อยู่ดี
    • ถ้าเป็นปลั๊กอินเบราว์เซอร์ที่ตรวจสอบ trust store หลายแห่งตอนเรนเดอร์หน้า ก็น่าจะทำได้ค่อนข้างง่าย อาจจะมีอยู่แล้วก็ได้
      ปัญหาอยู่ที่คนที่นั่งอยู่ระหว่างคีย์บอร์ดกับเก้าอี้ ผู้ใช้แค่เรื่อง SSL ก็เข้าใจยากอยู่แล้ว เบราว์เซอร์เองก็มองว่าความต่างระหว่าง EV, DV, OV ซับซ้อนเกินไปจนซ่อนไปหมดแล้ว
      ถ้าคุณย่าเปิดเว็บธนาคาร แล้วใบรับรองนั้นได้รับความเชื่อถือจาก Google, Apple, Microsoft แต่ไม่ถูกเชื่อถือโดย Mozilla จนปลั๊กอินเบราว์เซอร์แสดงสถานะความเชื่อถือเป็นสีเขียวอมเหลือง เธอจะตีความว่ายังไง?
      น่าเสียดายที่ความเชื่อถือเป็นเรื่องแบบ สองค่า คุณย่ากดบุ๊กมาร์กธนาคารแล้วก็ต้องได้เห็นเว็บธนาคาร หรือไม่ก็เห็นคำเตือนน่ากลัวไปเลย
  • ดูจากต้นฉบับอย่างเดียว ยังบอกได้ยากว่าเรื่องนี้เป็น ความผิดพลาด หรือ เจตนา

    • เนื่องจากใบรับรองถูกลงทะเบียนใน CT ก็ดูมีเหตุผลที่จะมองว่าเป็นความผิดพลาด
      เพราะมันการันตีว่าจะถูกจับได้ และย่อมก่อประเด็นที่คุกคามฟีเจอร์ซึ่งลงทุนลงแรงสร้างขึ้นมาพอสมควรอย่างแน่นอน
    • ไม่เข้าใจว่าผู้ออกใบรับรองจะออกใบรับรอง google.com โดยพลาดได้อย่างไร
      มีสถานการณ์ที่ไม่ใช่การกระทำโดยเจตนาอยู่จริงหรือ?
    • คำตอบคือความประมาท
    • แล้วมันสำคัญด้วยหรือ?
  • เดาเอาว่านี่ฟังดูเหมือน การสมคบกันโดยเจตนาหรือการบีบบังคับ ระหว่างรัฐบาลกับบริษัทยักษ์ใหญ่
    เช่น รัฐบาลบราซิลอาจเรียกร้องให้ Microsoft อนุญาตการเข้าถึงแบบ man-in-the-middle บนอุปกรณ์ Windows เพื่อแลกกับสิทธิในการทำธุรกิจในประเทศ

    • ดูแล้วโอกาสเป็นแบบนั้นต่ำมาก
      โดยปกติรัฐบาลจะเดินแผนแย่ ๆ แบบเงียบ ๆ เรื่องแบบนี้ยากเกินกว่าจะทำแล้วไม่ถูกจับได้ จึงไม่ใช่วิธีที่ทำได้จริง การที่ตอนนี้คุณกำลังอ่านข้อความนี้บน HN ก็เป็นตัวอย่างนั้นเอง
  • น่าจะดีถ้ามีใครสักคนทำ รายชื่อผู้ออกใบรับรอง ที่เป็นของรัฐหรือเกี่ยวข้องกับรัฐขึ้นมา อยากลบทิ้งทั้งหมด

    • ปีที่แล้วฉันทำรายชื่อบางส่วนไว้ [1]
      การตัดสินว่าผู้ออกใบรับรองรายใดดำเนินการโดยรัฐหรืออยู่ภายใต้การควบคุมของรัฐนั้นเป็นเรื่องยาก ชื่ออย่างเดียวไม่ได้บอกชัดเสมอไป บริษัทเอกชนอาจดำเนินงานตามคำสั่งรัฐบาลได้ และในทางกฎหมายผู้ออกใบรับรองอาจจำเป็นต้องปฏิบัติตามคำขอของรัฐด้วย
      สิ่งที่ใส่ไว้ที่นี่คือหน่วยงานรัฐบาลหรือทหารที่ชัดเจนมากว่าเป็นผู้ดำเนินการผู้ออกใบรับรอง และผู้ออกใบรับรองของบราซิลที่พูดถึงครั้งนี้เป็นลำดับที่สองในรายการ
      [1] https://alexsci.com/blog/ca-trust/#government-control-of-cas