LINUX.ORG.RU
ФорумTalks

[google][evil empire]Google стал центром выдачи SSL-сертификатов

 


0

0

proof:

$ host my.gizmo5.com
my.gizmo5.com has address 198.65.166.171
my.gizmo5.com has address 130.94.88.123

$ openssl s_client -connect 198.65.166.171:443 -showcerts
...
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
...

$ openssl x509 -in google.txt -noout -text 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 747377 (0xb6771)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=Equifax, OU=Equifax Secure Certificate Authority
        Validity
            Not Before: Jun  8 20:43:27 2009 GMT
            Not After : Jun  7 19:43:27 2013 GMT
        Subject: C=US, O=Google Inc, CN=Google Internet Authority
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:c9:ed:b7:a4:8b:9c:57:e7:84:3e:40:7d:84:f4:
                    8f:d1:71:63:53:99:e7:79:74:14:af:44:99:33:20:
                    92:8d:7b:e5:28:0c:ba:ad:6c:49:7e:83:5f:34:59:
                    4e:0a:7a:30:cd:d0:d7:c4:57:45:ed:d5:aa:d6:73:
                    26:ce:ad:32:13:b8:d7:0f:1d:3b:df:dd:dc:08:36:
                    a8:6f:51:44:9b:ca:d6:20:52:73:b7:26:87:35:6a:
                    db:a9:e5:d4:59:a5:2b:fc:67:19:39:fa:93:18:18:
                    6c:de:dd:25:8a:0e:33:14:47:c2:ef:01:50:79:e4:
                    fd:69:d1:a7:c0:ac:e2:57:6f
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Subject Key Identifier: 
                BF:C0:30:EB:F5:43:11:3E:67:BA:9E:91:FB:FC:6A:DA:E3:6B:12:24
            X509v3 Authority Key Identifier: 
                keyid:48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:4F:33:98:90:9F:D4

            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:0
            X509v3 CRL Distribution Points: 
                URI:http://crl.geotrust.com/crls/secureca.crl

    Signature Algorithm: sha1WithRSAEncryption
        b8:8a:23:c6:48:96:b1:11:7c:60:77:5e:05:9a:ab:a1:c6:fa:
        82:1c:18:07:c4:eb:81:b0:a8:66:eb:49:a8:e9:0c:d3:29:ad:
        f5:ef:24:4c:fd:e4:4b:ca:7f:5e:63:ab:99:27:cb:9f:36:21:
        2c:b9:10:60:67:cd:d2:b4:f0:f0:ab:71:e5:8b:5a:89:27:11:
        84:aa:8e:bf:99:f0:9d:09:21:0a:52:19:9a:5a:09:d2:90:b7:
        fa:0c:f8:7e:78:a2:b0:85:af:5c:4c:99:d9:5c:55:29:f9:a5:
        51:42:2e:3a:cb:38:8c:78:3b:cb:f8:fb:95:87:bc:bc:90:f9:
        50:32

в свете того что многие очень непредусмотрительно польнуются DNS-сервером от google 6.6.^^W 8.8.8.8 — это открывает им неограниченные возможности для осуществления атак man-in-the-middle.

★★

Последнее исправление: pupok (всего исправлений: 1)

Ответ на: комментарий от Gary

А ещё они едят котят на завтрак


И запивают их кровью христианских младенцев. :)

zloy_buratino
()
Ответ на: комментарий от Gary

> А ещё они едят котят на завтрак

ну, котят не только они едят.

А вот если теперь придет прокурор штат Калифорния в офис google и скажет — есть тут некий субъект, зовут Ганс. Он, гад, читает почту через SSL-канал, и хоть мы сели на его линию — ничего о его коварных планах не знаем. Знаем только что перед тем как попасть на свою богомерзкую почту он отправляет небольшой UDP-пакет на вроде ваш адрес 8.8.8.8:53. Не подсобите? Серёга ему отвечает — да без проблем: 8.8.8.8 — это наш DNS-сервер, и персонально для Ганса мы его подкрутим. А всю почту пустим через ваш, многоуважаемый прокурор, прокси. А чтобы Ганс не заподозрил неладное — мы вам, многоуважаемый прокурор, выдадим SSL-сертификат на имя почтового сервера Ганса. Не то чтобы прокурор и до этого не мог такое устроить. Но теперь не надо в две конторы для этого ходить — удобно.

pupok ★★
() автор топика

А где собтсвенно сертификатик прикупить можно? Хочу в рабство к гуглю, меня тафт заипал пределно.

BigAlex ★★★
()

> в свете того что многие очень непредусмотрительно польнуются DNS-сервером от google

Не беспокойся об убогих - им всё равно же.

Deleted
()
Ответ на: комментарий от volh

> они просто решили наконец поиск по https разрешить.

зачем боту бродящему по https:// уметь самому выдавать валидные сертификаты? Ему только проверять нужно, да и то врятли — пусть бродит везде, даже где сертификат невалидный.

pupok ★★
() автор топика

Ну, как-бы, подтверждается масштабная кампания разведслужб по сбору всего и вся, представленная в красивой обёртке из истории успеха двух студентов-аспирантов.

dotcoder ★★★★★
()

>[google][evil empire]Google стал центром выдачи SSL-сертификатов

host my.gizmo5.com


Скажи, о болезный, почему тебя удивляет что гугл выдает сертификат своему(да-да) проекту гизмо?

То что какой нибудь Вася становится подписывающим для своего мини-сайта с https тебя не удивляет? ;)

kernel ★★☆
()
Ответ на: комментарий от pupok

Бедный Ганс, наверное, прокурор будет его шантажировать, когда узнает что Ганс посещает сайты для зоонекропедофилов?

Gary ★★★★★
()
Ответ на: комментарий от kernel

> Скажи, о болезный, почему тебя удивляет что гугл выдает сертификат своему(да-да) проекту гизмо?

> То что какой нибудь Вася становится подписывающим для своего мини-сайта с https тебя не удивляет? ;)

здоровяк, ты бы не только мышици качал, но иногда серое вещество стимулировал

        Issuer: C=US, O=Equifax, OU=Equifax Secure Certificate Authority 
        Validity 
            Not Before: Jun  8 20:43:27 2009 GMT 
            Not After : Jun  7 19:43:27 2013 GMT 
        Subject: C=US, O=Google Inc, CN=Google Internet Authority 
...
            X509v3 Basic Constraints: critical 
                CA:TRUE, pathlen:0 

для тех кто в танке поясняю — Equifax делегировал своё право выдавать сертификаты гуглу. Абсолютно все openssl-based системы доверяют Equifax. А теперь он выдал google сертификат с «CA:TRUE» в безнаказанное владение. Теперь google может подписывать всё что угодно, хоть сертификат для whitehouse.gov — твой браузер тревогу не забьёт. А то что ты можешь для своего хомячка состряпать самоподписанный сертификат — никого не волнует, ему никто доверять не будет.

pupok ★★
() автор топика
Ответ на: комментарий от Gary

> Бедный Ганс, наверное, прокурор будет его шантажировать

если бы только прокурор, его можно было бы в превышении полномочий уличить. Да и, как я сказал, он и раньше мог такое сделать сходив в две конторы. Но теперь-то и сам Серёга может этим заниматься. А его в другой конторе раньше бы послали — он ведь не прокурор...

pupok ★★
() автор топика

Выдавали бы они еще и бесплатные сертификаты ;)

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Gary

> Да ты уже какой-то бред несёшь :)

где бред? теперь в руках одной конторы собрались все необходимые технические средства для необнаружимых man-in-the-middle атак на SSL-соединения. CA-сертификат от Equifax ты при всём желании из системы удалить не можешь — слишком многое на него завязано. Теперь кто пользуется 8.8.8.8 — ССЗБ.

pupok ★★
() автор топика
Ответ на: комментарий от pupok

Не, ну йопт, у кого паранойя, давно поднял себе свой bind9 без форвардеров и сам к корневикам на поклон ходит. ИЧСХ, не ноет.

shimon ★★★★★
()
Ответ на: комментарий от pupok

> Теперь кто пользуется 8.8.8.8 — ССЗБ.

Это и так понятно было :)

Deleted
()
Ответ на: комментарий от shimon

> у кого паранойя, давно поднял себе свой bind9 без форвардеров

я думаю даже этого недостаточно. Если пользуешься web-сервисами от google — он все ссылки пропускает через свои редиректы (поисковую выдачу точно, кажется и ссылки из писем пришедших в gmail тоже). Так что придётся либо писать свой поисковик либо переходить на байду яндекса.

pupok ★★
() автор топика
Ответ на: комментарий от pupok

> здоровяк, ты бы не только мышици качал ...

:)

Теперь google может подписывать всё что угодно, хоть сертификат для

whitehouse.gov — твой браузер тревогу не забьёт.



Ты понимаешь что если гугл выдаст сертификат для whitehouse.gov твоя же команда openssl s_client -connect whitehouse.gov:443 -showcerts покажет что сертификат для whitehouse.gov выдал именно гугл ? И что скрыть этот факт гуглу не удастся ? ;):):):)

kernel ★★☆
()
Ответ на: комментарий от kernel

> команда openssl s_client покажет что сертификат для whitehouse.gov выдал именно гугл

да, проверить кто выдал сертификат можно (собственно так я случайно это и обнаружил). Но если сертификат валидный, никто его проверять не будет, к тому же они не будут делать это постоянно. И сертификаты используются не только для https, например для imaps или pops.

pupok ★★
() автор топика
Ответ на: комментарий от kernel

> на их собственные сервисы

еще раз, фишка в том что теперь они могут так атаковать что угодно. Смотри выше пример с Гансом. Или если хочешь, представь что Барак пользуется 8.8.8.8 и решил из дома посмотреть почту на whitehouse.gov через imaps...

pupok ★★
() автор топика
Ответ на: комментарий от pupok

да, проверить кто выдал сертификат можно (собственно так я случайно

это и обнаружил).


Блин.

Система сертификатов придумана не для того что бы ругатся на то что сертификата нету или на то что он не от трастет пати. Это ее самые примитивные начальные свойства, которые почемуто, похоже, некоторые товарищи принимают за основные. Видимо потому что броузер окошко выдает с вопросом, ага.

При ее правильном использовании сертификаты валидные может выдавать почти каждая собака. А смысл сертификата в том что хоть его и может выдавать каждая собака, ты всегда можешь проверить какая собака его выдала и принять меры. В том числе если эта собака выдала сертификат фишеру какому. Так как его можно юридически доказуемо прижать.

И в отличие от «всего интернета», где могут прятаться злоумышленники, процесс выдачи сертификата можно очень хорошо проконтролировать. Так как чуть выше самых низких уровней это небольшое число организаций доступное для контроля так же как узлы SWIFT.

Вот так же и надо подходить к сертификатам от корневых авторитетов. Как к узлам сети уже созданным мировой закулисой с гуглом как ее части.

И кстати. К проблеме гуглового dns. Еще гугл продвигает цифровые подписи на dns ответы если мне память не изменяет. И это как раз способ решить проблему подмены dns.

Но если сертификат валидный, никто его проверять не будет, к тому же

они не будут делать это постоянно.


Это проблемы тех кто не понимает зачем вообще эти все сертификаты. Если таких большинство, ну так об этом и надо говорить. А не о том что «гугл заховал мир1111»

И сертификаты используются не только для https, например для imaps

или pops.


А тут в чем проблема?

kernel ★★☆
()
Ответ на: комментарий от pupok

Или если хочешь, представь что Барак пользуется ....


Ты лучше представь что Барак может позвонить в ЦРУ и подписать любой документ любым сертификатом. Так как ЦРУ уже все сертификаты необходимые спи3дило. При помощи банального терморектального криптоанализа. В том крайнем случае если с сертификатами корневыми не работают уже очень давно завербованные люди.

и решил из дома посмотреть почту на whitehouse.gov через imaps


Барак живет в whitehouse.gov. По локалке почту смотрит.

kernel ★★☆
()
Ответ на: комментарий от kernel

> Ты лучше представь что Барак может позвонить в ЦРУ и подписать любой документ любым сертификатом.

Барак — это целое государство, против него не попрёшь. Но с другой стороны на него тоже управа имеется в виде избирателей (вот ведь лох, надо у старшего брата Владимира учиться). А на google никакой управы нет. Кстати, даже тот же Equifax мог подобным заниматься только в самом крайнем случае, потому что он на продаже сертификатов зарабатывает, а google нечего терять.

pupok ★★
() автор топика
Ответ на: комментарий от pupok

> google нечего терять

совсем нечего, да

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.