Cơ quan chứng thực của Brazil chỉ được Microsoft tin cậy đã cấp chứng chỉ cho google.com
(follow.agwa.name)-
Andrew Ayeragwa14h
- Một cơ quan chứng thực của Brazil được Microsoft tin cậy đã cấp một chứng chỉ có thể là không được ủy quyền cho google.com. Điều này có thể cho phép chặn lưu lượng truy cập đến Google trong Edge và các ứng dụng Windows khác (ngoại trừ Chrome và Firefox). Microsoft biết rõ lịch sử các vấn đề liên quan đến cơ quan chứng thực này và đã nêu quan ngại vào năm 2021, đồng thời các vấn đề bổ sung cũng được nêu ra trong cuộc thảo luận CCADB công khai năm 2022. Hy vọng sự việc này sẽ thúc đẩy thay đổi. Người dùng Windows xứng đáng nhận được dịch vụ tốt hơn.
-
Andrew Ayeragwa12h
- Một ví dụ về sự thiếu năng lực của cơ quan chứng thực này: chỉ vì chủ thể của chứng chỉ có chứa số sê-ri công ty con của Google không có nghĩa là nó đã được Google phê duyệt. Cơ quan chứng thực có thể điền bất cứ nội dung gì họ muốn vào trường đó, và cơ quan này không xác minh rõ ràng nội dung được đưa vào chứng chỉ.
-
Andrew Ayeragwa10h
- Các proxy tấn công trung gian của doanh nghiệp cực kỳ có hại.
1 bình luận
Ý kiến trên Hacker News
ICP-Brasil đã chính thức ngừng cấp chứng chỉ SSL/TLS công khai vào tháng 10: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
Không chỉ lách lệnh cấm cấp chứng chỉ công khai, họ còn vi phạm cả quy tắc CAA của Google, nên chuyện này khá nghiêm trọng. Hy vọng cơ quan chứng thực này sẽ bị chặn vĩnh viễn trên hệ điều hành của Microsoft
certlm.mscthì có vẻ hotfix đã được phân phối, và không thấy ICP Brasil trong các tổ chức phát hành chứng chỉ gốc đáng tin cậyTệ hơn nữa là ICP-Brasil được nêu trong bug report là một cơ quan do chính phủ vận hành, phụ trách chung các vấn đề liên quan đến chữ ký số
Họ còn liên quan đến việc ký số hợp đồng hoặc giấy chứng nhận, cũng như truy cập tờ khai thuế
google.comlà giải quyết đượcTrông rất tệ. Tôi cứ nghĩ Chrome và Firefox sẽ gỡ bỏ niềm tin với cơ quan chứng thực này, nhưng hóa ra họ vốn đã không tin cậy rồi
Việc Microsoft/Windows lại tin cậy một cơ quan chứng thực mà các tay chơi lớn khác không tin cậy khiến hình ảnh của Microsoft còn tệ hơn
Trong thời gian tới cũng khó thấy khả năng cải thiện, và xu hướng vẫn đang đi xuống
Trước đây nó mặc định không được tin cậy nên phải được thêm thủ công vào kho chứng chỉ, nhưng chính phủ Brazil vẫn khăng khăng sẽ tiếp tục dùng cơ quan chứng thực này trên các website chính thức
Microsoft có vẻ khá lỏng lẻo trong việc tin cậy các cơ quan chứng thực, quyết định đưa vào cũng không minh bạch, và kho tin cậy cũng khá lớn
Một website hợp lý sẽ chỉ dùng chứng chỉ được các trình duyệt, đặc biệt là Chrome, tin cậy, nên lợi ích mà các cơ quan chứng thực dư thừa này mang lại có vẻ thấp
Tôi không dùng Windows, nhưng tò mò không biết có cách nào dùng kho tin cậy của Chrome trên Windows/Edge không. Danh sách của Microsoft thì khó mà tin được
Tôi không định bênh MSFT, nhưng xét theo kinh nghiệm bán hệ điều hành cho chính phủ, không ai ở cùng tầm với Microsoft. Tôi có xu hướng cho rằng MSFT xem xét cẩn trọng khi thêm cơ quan chứng thực
Không biết bạn có biết DigiNotar, vụ một cơ quan chứng thực được chính phủ Hà Lan phê duyệt bị hack nghiêm trọng, không. Cơ quan chứng thực đó bị hack sau khi chứng chỉ gốc đã được thêm vào kho tin cậy của hầu hết trình duyệt và hệ điều hành, và được tin cậy rộng rãi. Vậy có thể nói MSFT đã tin cậy cơ quan chứng thực gốc DigiNotar một cách “lỏng lẻo” không? Tôi nghĩ cũng khó nói như vậy với Mozilla Firefox
Những việc như thế này khiến tôi tự hỏi tại sao chứng chỉ lại không được ký cả bởi chủ sở hữu chứng chỉ
Hiện nay cơ quan chứng thực có thể cấp chứng chỉ cho bất kỳ khóa công khai và tên miền nào họ muốn, và một cơ quan chứng thực được tin cậy nhưng độc hại có thể chặn toàn bộ lưu lượng
Nếu chứng chỉ không chỉ có chữ ký của cơ quan chứng thực mà còn có chữ ký của chủ sở hữu khóa công khai đó, có vẻ cơ quan chứng thực sẽ không còn năng lực này nữa; tôi đang bỏ sót điều gì?
Cơ quan chứng thực, hoặc kẻ tấn công lừa được cơ quan chứng thực bằng gian lận trong thế giới thực, có thể trở thành “chủ sở hữu” của cặp khóa dùng cho chữ ký thứ hai
Chỉ tái sử dụng hạ tầng PKI hiện có dành cho gốc tin cậy của cơ quan chứng thực là không xử lý được. Có thể phân phối khóa công khai hoặc chứng chỉ qua DNS như DANE, nhưng đó không phải việc đơn giản và cần các bên tham gia hiện hữu trong toàn hệ sinh thái đồng ý
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
Tôi thích định hướng lớn là cải thiện hiện trạng bằng cách thêm lớp tin cậy phi tập trung, tự quản lý lên trên hoặc bên cạnh PKI tập trung hiện có. Nó có thể là một bước đệm để tiến tới một cấu trúc có khả năng phục hồi tốt hơn một cách có hệ thống
Nếu chủ sở hữu chứng chỉ đã có sẵn một khóa công khai đã được xác minh để ký chứng chỉ, thì không cần cơ quan chứng thực nữa
Tôi thắc mắc tại sao Brazil lại khiến Microsoft tin cậy cơ quan chứng thực của nước mình. Chẳng hạn Kazakhstan[1] thì không làm được như vậy
Giải pháp đơn giản là để các tổ chức độc lập đưa ra tuyên bố về độ tin cậy đối với các tổ chức chứng thực, và để người dùng quyết định có tin hay không bằng cách xem xét phán đoán của nhiều tổ chức cùng lúc
Thật đáng ngạc nhiên là dù đường tấn công rõ ràng như vậy mà đến nay vẫn chưa có cấu trúc như thế
Dù có tạo ra phương thức PKI thay thế nào đi nữa, nó cũng không thoát khỏi vấn đề Microsoft ký thỏa thuận
Vấn đề nằm ở giữa bàn phím và chiếc ghế. Người dùng vốn đã khó hiểu SSL. Các trình duyệt cho rằng khác biệt giữa EV, DV, OV quá phức tạp nên đã ẩn chúng đi
Nếu bà của bạn mở trang ngân hàng, chứng chỉ được Google, Apple, Microsoft tin cậy nhưng Mozilla thì không, và plugin trình duyệt hiển thị chỉ báo tin cậy màu xanh lục-vàng, bà ấy sẽ hiểu thế nào?
Đáng tiếc là niềm tin mang tính nhị phân. Khi bà ấy bấm bookmark ngân hàng, bà ấy hoặc thấy website ngân hàng, hoặc thấy một cảnh báo đáng sợ
Chỉ nhìn bản gốc thì không rõ việc này là sai sót hay cố ý
Vì chắc chắn sẽ bị phát hiện, và rõ ràng nó sẽ tạo ra tranh cãi đe dọa chính chức năng mà họ đã tốn chi phí đáng kể để chuẩn bị
google.comCó kịch bản nào không ác ý không?
Chỉ là suy đoán, nhưng nghe giống sự thông đồng hoặc cưỡng ép có chủ ý giữa chính phủ và một tập đoàn lớn
Ví dụ như chính phủ Brazil yêu cầu Microsoft cho phép truy cập kiểu tấn công trung gian trên các thiết bị Windows để đổi lấy quyền kinh doanh tại nước này
Chính phủ thường tiến hành các kế hoạch xấu một cách bí mật. Việc kiểu này quá khó để qua mặt mà không bị phát hiện, nên không phải là cách khả thi. Việc chúng ta đang đọc bài này trên HN chính là một ví dụ
Ước gì có ai đó có danh sách các tổ chức chứng thực cấp quốc gia hoặc liên quan đến nhà nước. Tôi muốn loại bỏ hết
Khó xác định tổ chức chứng thực nào do chính phủ vận hành hoặc bị chính phủ kiểm soát. Chỉ nhìn tên thì không phải lúc nào cũng rõ, các công ty tư nhân cũng có thể vận hành theo chỉ thị của chính phủ, và về mặt pháp lý các tổ chức chứng thực có thể buộc phải tuân theo yêu cầu của chính phủ
Những cái trong danh sách này đều là các nơi rất rõ ràng là tổ chức chính phủ/quân đội vận hành tổ chức chứng thực, và tổ chức chứng thực Brazil được nhắc đến lần này là mục thứ hai trong danh sách
[1] https://alexsci.com/blog/ca-trust/#government-control-of-cas