1 điểm bởi GN⁺ 2024-12-01 | 1 bình luận | Chia sẻ qua WhatsApp
  • Andrew Ayeragwa14h
    • Một cơ quan chứng thực của Brazil được Microsoft tin cậy đã cấp một chứng chỉ có thể là không được ủy quyền cho google.com. Điều này có thể cho phép chặn lưu lượng truy cập đến Google trong Edge và các ứng dụng Windows khác (ngoại trừ Chrome và Firefox). Microsoft biết rõ lịch sử các vấn đề liên quan đến cơ quan chứng thực này và đã nêu quan ngại vào năm 2021, đồng thời các vấn đề bổ sung cũng được nêu ra trong cuộc thảo luận CCADB công khai năm 2022. Hy vọng sự việc này sẽ thúc đẩy thay đổi. Người dùng Windows xứng đáng nhận được dịch vụ tốt hơn.
  • Andrew Ayeragwa12h
    • Một ví dụ về sự thiếu năng lực của cơ quan chứng thực này: chỉ vì chủ thể của chứng chỉ có chứa số sê-ri công ty con của Google không có nghĩa là nó đã được Google phê duyệt. Cơ quan chứng thực có thể điền bất cứ nội dung gì họ muốn vào trường đó, và cơ quan này không xác minh rõ ràng nội dung được đưa vào chứng chỉ.
  • Andrew Ayeragwa10h
    • Các proxy tấn công trung gian của doanh nghiệp cực kỳ có hại.

1 bình luận

 
GN⁺ 2024-12-01
Ý kiến trên Hacker News
  • ICP-Brasil đã chính thức ngừng cấp chứng chỉ SSL/TLS công khai vào tháng 10: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
    Không chỉ lách lệnh cấm cấp chứng chỉ công khai, họ còn vi phạm cả quy tắc CAA của Google, nên chuyện này khá nghiêm trọng. Hy vọng cơ quan chứng thực này sẽ bị chặn vĩnh viễn trên hệ điều hành của Microsoft

    • Tôi kiểm tra certlm.msc thì có vẻ hotfix đã được phân phối, và không thấy ICP Brasil trong các tổ chức phát hành chứng chỉ gốc đáng tin cậy
  • Tệ hơn nữa là ICP-Brasil được nêu trong bug report là một cơ quan do chính phủ vận hành, phụ trách chung các vấn đề liên quan đến chữ ký số
    Họ còn liên quan đến việc ký số hợp đồng hoặc giấy chứng nhận, cũng như truy cập tờ khai thuế

    • Khác với trình duyệt web, các trường hợp dùng chữ ký số cần kiểm tra thu hồi, nên có vẻ chỉ cần thu hồi chứng chỉ google.com là giải quyết được
  • Trông rất tệ. Tôi cứ nghĩ Chrome và Firefox sẽ gỡ bỏ niềm tin với cơ quan chứng thực này, nhưng hóa ra họ vốn đã không tin cậy rồi
    Việc Microsoft/Windows lại tin cậy một cơ quan chứng thực mà các tay chơi lớn khác không tin cậy khiến hình ảnh của Microsoft còn tệ hơn

    • Microsoft có danh tiếng bảo mật rất kém, và họ có danh tiếng đó chính vì đã làm những việc như thế này
      Trong thời gian tới cũng khó thấy khả năng cải thiện, và xu hướng vẫn đang đi xuống
    • Tôi không hiểu một cơ quan chứng thực web không được tất cả các bên lớn tin cậy thì có ý nghĩa gì
    • Việc chứng chỉ được cấp đúng vào một kỳ nghỉ lễ lớn ở Mỹ cũng trông không hay. Vì đó là lúc nhiều người đang nghỉ phép
    • Không chỉ là trông không hay, mà đơn giản là một việc xấu
    • Buồn cười ở chỗ đây chỉ là vấn đề mới nhất liên quan đến cơ quan chứng thực này
      Trước đây nó mặc định không được tin cậy nên phải được thêm thủ công vào kho chứng chỉ, nhưng chính phủ Brazil vẫn khăng khăng sẽ tiếp tục dùng cơ quan chứng thực này trên các website chính thức
  • Microsoft có vẻ khá lỏng lẻo trong việc tin cậy các cơ quan chứng thực, quyết định đưa vào cũng không minh bạch, và kho tin cậy cũng khá lớn
    Một website hợp lý sẽ chỉ dùng chứng chỉ được các trình duyệt, đặc biệt là Chrome, tin cậy, nên lợi ích mà các cơ quan chứng thực dư thừa này mang lại có vẻ thấp
    Tôi không dùng Windows, nhưng tò mò không biết có cách nào dùng kho tin cậy của Chrome trên Windows/Edge không. Danh sách của Microsoft thì khó mà tin được

    • Lý do không minh bạch là vì nó vận hành dựa trên tiêu chí mở rộng doanh số
    • Nói “Microsoft có vẻ lỏng lẻo trong việc tin cậy các cơ quan chứng thực” là một cách diễn đạt khá mạnh. Nghe giống kiểu phóng đại điển hình trên HN
      Tôi không định bênh MSFT, nhưng xét theo kinh nghiệm bán hệ điều hành cho chính phủ, không ai ở cùng tầm với Microsoft. Tôi có xu hướng cho rằng MSFT xem xét cẩn trọng khi thêm cơ quan chứng thực
      Không biết bạn có biết DigiNotar, vụ một cơ quan chứng thực được chính phủ Hà Lan phê duyệt bị hack nghiêm trọng, không. Cơ quan chứng thực đó bị hack sau khi chứng chỉ gốc đã được thêm vào kho tin cậy của hầu hết trình duyệt và hệ điều hành, và được tin cậy rộng rãi. Vậy có thể nói MSFT đã tin cậy cơ quan chứng thực gốc DigiNotar một cách “lỏng lẻo” không? Tôi nghĩ cũng khó nói như vậy với Mozilla Firefox
  • Những việc như thế này khiến tôi tự hỏi tại sao chứng chỉ lại không được ký cả bởi chủ sở hữu chứng chỉ
    Hiện nay cơ quan chứng thực có thể cấp chứng chỉ cho bất kỳ khóa công khai và tên miền nào họ muốn, và một cơ quan chứng thực được tin cậy nhưng độc hại có thể chặn toàn bộ lưu lượng
    Nếu chứng chỉ không chỉ có chữ ký của cơ quan chứng thực mà còn có chữ ký của chủ sở hữu khóa công khai đó, có vẻ cơ quan chứng thực sẽ không còn năng lực này nữa; tôi đang bỏ sót điều gì?

    • Chuỗi tin cậy cho mọi chứng chỉ trong ví dụ đó được hình thành từ việc tin cậy chứng chỉ của cơ quan chứng thực gốc độc hại
      Cơ quan chứng thực, hoặc kẻ tấn công lừa được cơ quan chứng thực bằng gian lận trong thế giới thực, có thể trở thành “chủ sở hữu” của cặp khóa dùng cho chữ ký thứ hai
    • Điều còn thiếu là hạ tầng và quy trình để phân phối và thu hồi khóa
      Chỉ tái sử dụng hạ tầng PKI hiện có dành cho gốc tin cậy của cơ quan chứng thực là không xử lý được. Có thể phân phối khóa công khai hoặc chứng chỉ qua DNS như DANE, nhưng đó không phải việc đơn giản và cần các bên tham gia hiện hữu trong toàn hệ sinh thái đồng ý
      https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
      Tôi thích định hướng lớn là cải thiện hiện trạng bằng cách thêm lớp tin cậy phi tập trung, tự quản lý lên trên hoặc bên cạnh PKI tập trung hiện có. Nó có thể là một bước đệm để tiến tới một cấu trúc có khả năng phục hồi tốt hơn một cách có hệ thống
    • Mục đích cốt lõi của cơ quan chứng thực chính là xác minh khóa công khai
      Nếu chủ sở hữu chứng chỉ đã có sẵn một khóa công khai đã được xác minh để ký chứng chỉ, thì không cần cơ quan chứng thực nữa
  • Tôi thắc mắc tại sao Brazil lại khiến Microsoft tin cậy cơ quan chứng thực của nước mình. Chẳng hạn Kazakhstan[1] thì không làm được như vậy

    1. https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_a...
    • Vì chính phủ Brazil mua số lượng lớn giấy phép Windows
  • Giải pháp đơn giản là để các tổ chức độc lập đưa ra tuyên bố về độ tin cậy đối với các tổ chức chứng thực, và để người dùng quyết định có tin hay không bằng cách xem xét phán đoán của nhiều tổ chức cùng lúc
    Thật đáng ngạc nhiên là dù đường tấn công rõ ràng như vậy mà đến nay vẫn chưa có cấu trúc như thế

    • Đây giống lỗi phần mềm phía client hơn là vấn đề WebPKI
      Dù có tạo ra phương thức PKI thay thế nào đi nữa, nó cũng không thoát khỏi vấn đề Microsoft ký thỏa thuận
    • Có lẽ khá dễ để làm một plugin trình duyệt kiểm tra nhiều kho tin cậy khi render trang. Có thể đã có rồi cũng nên
      Vấn đề nằm ở giữa bàn phím và chiếc ghế. Người dùng vốn đã khó hiểu SSL. Các trình duyệt cho rằng khác biệt giữa EV, DV, OV quá phức tạp nên đã ẩn chúng đi
      Nếu bà của bạn mở trang ngân hàng, chứng chỉ được Google, Apple, Microsoft tin cậy nhưng Mozilla thì không, và plugin trình duyệt hiển thị chỉ báo tin cậy màu xanh lục-vàng, bà ấy sẽ hiểu thế nào?
      Đáng tiếc là niềm tin mang tính nhị phân. Khi bà ấy bấm bookmark ngân hàng, bà ấy hoặc thấy website ngân hàng, hoặc thấy một cảnh báo đáng sợ
  • Chỉ nhìn bản gốc thì không rõ việc này là sai sót hay cố ý

    • Vì chứng chỉ đã được đăng ký vào CT, có lẽ hợp lý hơn là xem đây là sai sót
      Vì chắc chắn sẽ bị phát hiện, và rõ ràng nó sẽ tạo ra tranh cãi đe dọa chính chức năng mà họ đã tốn chi phí đáng kể để chuẩn bị
    • Tôi không hiểu làm sao một tổ chức chứng thực có thể vô tình cấp chứng chỉ google.com
      Có kịch bản nào không ác ý không?
    • Câu trả lời là bất cẩn
    • Điều đó có quan trọng không?
  • Chỉ là suy đoán, nhưng nghe giống sự thông đồng hoặc cưỡng ép có chủ ý giữa chính phủ và một tập đoàn lớn
    Ví dụ như chính phủ Brazil yêu cầu Microsoft cho phép truy cập kiểu tấn công trung gian trên các thiết bị Windows để đổi lấy quyền kinh doanh tại nước này

    • Khả năng đó có vẻ rất thấp
      Chính phủ thường tiến hành các kế hoạch xấu một cách bí mật. Việc kiểu này quá khó để qua mặt mà không bị phát hiện, nên không phải là cách khả thi. Việc chúng ta đang đọc bài này trên HN chính là một ví dụ
  • Ước gì có ai đó có danh sách các tổ chức chứng thực cấp quốc gia hoặc liên quan đến nhà nước. Tôi muốn loại bỏ hết

    • Năm ngoái tôi đã lập một danh sách một phần [1]
      Khó xác định tổ chức chứng thực nào do chính phủ vận hành hoặc bị chính phủ kiểm soát. Chỉ nhìn tên thì không phải lúc nào cũng rõ, các công ty tư nhân cũng có thể vận hành theo chỉ thị của chính phủ, và về mặt pháp lý các tổ chức chứng thực có thể buộc phải tuân theo yêu cầu của chính phủ
      Những cái trong danh sách này đều là các nơi rất rõ ràng là tổ chức chính phủ/quân đội vận hành tổ chức chứng thực, và tổ chức chứng thực Brazil được nhắc đến lần này là mục thứ hai trong danh sách
      [1] https://alexsci.com/blog/ca-trust/#government-control-of-cas