Xakep #305. Многошаговые SQL-инъекции
Французский центр, занимающийся выдачей SSL-сертификатов, допустил досадную
ошибку в конфигурации своего сервера, которая привела к тому, что достоянием
общественности стал закрытый ключ центра, и это может оказаться потенциально
опасным для web-браузеров по всему миру.
SSL сертификаты в Интернете служат двум основным целям: они шифруют
информацию и подтверждают идентичность сервера. Вторая из функций подразумевает,
что сертификаты не раздаются кому угодно, напротив, лицо их запрашивающее,
должно в какой-то степени руководить этим доменом. Подтверждением правомочности
могут служить как длительные переговоры с администраторами, так и простое
размещение секретного файла где-то на сервере.
Чтобы предотвратить создание сертификатов силами самих пользователей, каждый
поставщик SSL-сертификатов использует свой закрытый ключ. Этот ключ должен
храниться в строжайшей секретности, посредством него подписываются
SSL-сертификаты, что свидетельствует о том, что их выписал надежный центр.
Обычно за этими ключами пристально следят, т.к. при наличии сертификата,
заверенного надежным центром, браузеры по умолчанию не выдают предупреждающих
сообщений при подключении.
К сожалению, специалисты французского центра Certigna не смогли удержать этот
ключ поз замком. Заходя на страницу со списком отмененных операций, любой
пользователь стандартного интернет-браузера мог скачать секретный ключ, а
возможно и другие секретные файлы, получая при этом потенциальную возможность
выдавать заверенные Certigna SSL-сертификаты.
При этом Certigna – это не мелкая фирма. Сертификаты, заверенные ей,
признаются Explorer, Firefox, Opera, Safari и большинством других браузеров.
Любой бездельник, скачавший ключ, сможет создавать свои сертификаты для таких
сайтов, как www.windowsupdate.com, и их легко будет выдать за настоящие.
Позднее Certigna выпустила обращение, в котором утверждает, что данный файл
являлся "тестовым", к тому же его срок действия истек. "Закрытый ключ, доступный
на нашем сайте, относится к тестовому сертификату", - утверждает компания. "С
помощью этого кода невозможно сгенерировать новый действительный сертификат.
Кроме того, он зашифрован и недействителен уже с июля 2010г. Этот ключ никак не
может повлиять на структуру безопасности. Личный код Certigna хранится в HSM
(Hardware Security Module) и не может быть доступен. А этот бесполезный файл был
удален".