Question Comment faire la distinction entre ces deux situations de certificat?


Situation 1 (sécuritaire):

  • Le site Web était vulnérable au cœur et à l'utilisation d'un certificat non valide avant le 2012-10-21
  • Site mis à niveau vers une version non vulnérable d'OpenSSL
  • Le site Web a été ressaisie et son certificat a été réédité, avec la même date de non-validité du 2012-10-21
  • Aujourd'hui, lorsque j'inspecte le site, je trouve qu'il n'est pas vulnérable au cœur et utilise un certificat avec une date non-valide du 2012-10-21

Situation 2 (dangereuse):

  • Le site Web était vulnérable au cœur et à l'utilisation d'un certificat non valide avant le 2012-10-21
  • Site mis à niveau vers une version non vulnérable d'OpenSSL
  • Aujourd'hui, lorsque j'inspecte le site, je trouve qu'il n'est pas vulnérable au cœur et utilise un certificat avec une date non-valide du 2012-10-21

Pour autant que je sache, ces deux situations ne me sont pas comparables en tant qu’utilisateur final qui n’a jamais visité le site Web en question auparavant. Qu'est-ce que je rate?


Pour info, la situation 1 est apparemment le cas pour * .wikipedia.org. Ils ont dit que c'était juste la façon dont Digicert réédite les certificats.


4
2018-04-10 05:53


origine


Je ne suis pas d'accord - Bien qu'il s'agisse d'un problème de sécurité, il s'agit également du type de problème intéressant pour les utilisateurs de superutilisateur, et il devrait rester ici. - davidgo
Nous pouvons garder cela ici. C'est aussi le sujet de notre champ d'application. Si vous n'obtenez pas de bonnes réponses en dedans, disons deux jours, alors nous pourrons toujours faire la migration. - slhck
Je ne pense pas qu'il existe réellement un moyen sans connaître le numéro de série (que vous pouvez soit comparer avec le courant ou vérifier dans la liste de révocation des certificats révoqués). - UKB
@UKB Merci! Si vous en êtes sûr, pourriez-vous écrire une réponse?
@Articuno Nous avons créé un site Web pour suivre ce que nous pouvions. Nous avons attrapé les certs sur les 1 million de sites Web les plus importants et vérifié s'ils sont toujours vulnérables et si le certificat a changé depuis sa mise en cache. Heartbleedstatus.com (Je ne suis pas sûr que ce soit en fait une réponse, alors faites le moi savoir) - Jacob


Réponses:


Zmap.io a une liste de modifications apportées aux certificats pour les 5 000 sites les plus populaires. Notez que la date y figure ne fait pas compter sur le Pas valable avant date du certificat lui-même et doit donc représenter une date précise pour la dernière modification du certificat. (J'ai utilisé Wikipedia.org pour vérifier cela car ils obtiennent leurs certificats de DigiCert qui antidatent la date de validité non valide lors de la nouvelle saisie des certificats.)

Ils sont liés aux données brutes qu'ils ont utilisées, qui couvrent vraisemblablement bien plus que les 5 000 sites principaux, mais au moment où j'écris ceci, le site ne répond pas.

Un autre projet qui recueille les empreintes de certificats est Convergence. Je n'ai pas encore exploré si vous pouviez extraire les empreintes digitales et les dates, mais si vous l'utilisiez avant HeartBleed, cela vous avertirait probablement quand le certificat d'un site a changé (à moins que la majorité des utilisateurs ne l'aient déjà accepté). nouveau certificat pour ce site). Ironiquement, aucun avertissement dans cette situation ne serait une indication que vous n'étiez pas en sécurité et un avertissement serait une indication de votre sécurité.


0
2018-04-14 11:44



C'est bon. Y a-t-il des sites qui le font depuis le début? Il semble que si nous attendons jusqu'à après Les vulnérabilités sont annoncées et traitées, nous pourrions perdre certains des anciens certificats si le site répond très rapidement au problème.
Les données sources sont de nouveau en ligne et il semble que cela remonte à des années. Il couvre tout l'espace d'adressage IPv4 et peut donc inclure n'importe quel site qui vous intéresse. - Ladadadada
Impressionnant! Il me semble que c'est un trou dans la spécification x.509 si nous devons compter sur un service comme celui-ci pour déterminer la date de publication.


Vous pouvez rechercher la liste de révocation de certificats de l'autorité de certification (par exemple, http://www.verisign.com/repository/crl.html de VeriSign) et voir s'ils ont récemment révoqué un ancien certificat, mais pour ce faire, vous aurez généralement besoin du numéro de série de l'ancien certificat. Vous pourriez également, si vous aviez l'ancien numéro de série, le comparer au nouveau.

Le problème est qu'il n'y a pas grand chose à faire pour voir s'il s'agit d'un certificat différent de l'ancien sans le numéro de série de l'ancien certificat.


0
2018-04-10 18:54



Peut-être vérifier les archives internet du site il y a une semaine pour voir l'ancien cert? - Dan L
@DanL L'archive internet enregistre-t-elle des certificats?
@Articuno Hmmm, la machine de retour ne fonctionne pas, Google cache pas. Ok, changez le peut être à un ne dérange pas. Désolé à ce sujet, aurait dû se rendre compte que les sites sécurisés ne vous laisseraient pas avoir une version en cache de la page. - Dan L