"A Google is megbízhatatlanná nyilvánította a Gattyán-féle Netlock egyik online tanúsítványát"

HUP cikkturkáló

https://telex.hu/techtud/2025/06/01/netlock-kiberbiztonsag-google-chrom…

"..A Netlock egyébként ugyanezzel a tanúsítvánnyal már az Apple-nél is belefutott ugyanebbe a problémába, a cég tavaly november közepével, hasonló okokból nyilvánította megbízhatatlanná sok más érintett mellett a magyar cég tanúsítványát..."

  • 1767 megtekintés

( mauzi v | 2025. 06. 01., v – 13:06 )

Szerkesztve: 2025. 06. 01., v – 13:11

Ha már itt tartunk: ajánljatok kérlek tanúsítványkiadót, amelyik képes elfogadható áron dokumentumok hitelesítésére használható aláíró tanúsítványt kiállítani:

  • Fokozott biztonságú tanúsítvány (eIDAS AES/AdES) elegendő, nem kell minősített tanúsítvány,
  • Szoftveres tárolású tanúsítvány legyen (pl. p12 fájl), hardver token nélkül (a meglévő dokumentumkezelő-, számlázó-, tömeges aláíró és egyéb rendszerek azzal működnek garantáltan)

A Netlock-nál ez tökéletesen megvalósul a 22.000 Ft+ÁFA éves díjú "EXPRESS / Nem-minősített üzleti aláíró / bélyegző tanúsítvány szervezeteknek" termékükkel. Hirtelen, amit találtam hasonlót másik (külföldi) tanúsítványkiadónál, az az éves 350-550 USD közötti ársávban van, ami mondjuk 6-10 szerese a mostaninak.

A történet a Netlock Gold főtanúsítványról (Root CA certificate) szól, amivel alá vannak írva a Netlock által kibocsátott tanúsítványok. Az aláíró tanúsítványok is.

Az aláírt PDF dokumentumok esetében ez a tanúsítványlánc:
  Netlock Arany (Class Gold) Főtanúsítvány -> NETLOCK Trust Advanced CA -> A végfelhasználó tanúsítványa

De ez csak akkor érdekes ha az OS-ekbol veszik ki.

Ez nem a jövő, hanem már történik, lásd: Apple.

Másrészt, ha a Google lép valami jelentősebbet, jelen esetben, valakitől megvonja a bizalmat, azt a korábbi tapasztalatok alapján a többi (birka?) is hamarosan követni fogja.

Harmadrészt, én is szeretnék tisztában lenni vele, hogy milyen alternatívák vannak a jelenleg igénybevett szolgáltatásokra, pláne, ha a technikain felül jelentősebb pénzügyi vonzata is van.

Dehogynem. Ha az aláíró tanusítványt kibocsátó tanusítványát kibocsátó tanusítványt (ejj de szép ez a magyar nyelv a dupla birtokos szerkezettel...) az OS nem ismeri/nem bízik meg, annak kihatása lehet az aláírás ellenőrzésére is (hiába passzol az aláírás, mivel nem hitelesíthető maga a tanusítvány, amihez az aláírás passzol, nem lesz hiteles). A trust chainnek meg kell lennie mindenféle tanusítvány alapú ellenőrzés esetén, különben egy támadó küldhetne neked egy digitálisan aláírt dokumentumot ami LÁTSZÓLAG a küldő tanusítványával van aláírva, kivéve, hogy azt a tanusítványt nem a NetLock hanem a LockNet írta alá mondjuk. Ha nem ellenőrzünk hitelességet az aláíró tanusítványt aláíró kibocsátó tanusítványon, akkor nem garantálható a trust chain konzisztenciája, így nem hitelesíthető a digitális aláírás - akkor sem, ha amúgy a dokumentum integritását igazolná az aláírás.

És ezen az se biztos, hogy segít, ha csatolják a CA főtanusítványt. Elvileg a legfölső (amúgy self-signed) tanusítványban az OS-nek magának kell megbíznia (épp azért, mert self-signed!), attól teljes mértékben függetlenül, hogy az csatolva van-e.

Mivel a Netlocknak a Gold a topmost főtanusítványa (azaz: ez egy self-signed tanusítvány), annak az invalidációja az összes Netlock által kibocsátott intermediate CA és normál tanusítvány érvényességét viszi magával.

Én is mocsok sokat küzdöttem mire megértettem a PKI logikáját, és most sem állítanám 100%-ra, hogy a fenti kocc nélkül megállja a helyét, de a tapasztalataim + a józan paraszti ész ezt diktálja.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Kis pontosítás:
Ha az alkalmazás az OS tanúsítványtárát használja, akkor igen, az OS tanúsítványtárából hiányzó CA-k okozhatnak ellenőrzési hibát a láncban.
Ha az alkalmazásnak saját trust store-ja van - lásd: Adobe Acrobat, Firefox -, akkor az OS tanúsítványtára semmit sem befolyásol.

Ahogy csardij fórumtárs írta: a jogi megbízhatóság egy megint másik, a technikaitól független kérdés.

Mondjuk az 1 jó kérdés, h. egy OS szintjén visszavont v. érvénytelenített, feketelistás Root CA használata utána egy alkalmazásszintű kivételkezeléssel miért oldható meg? Az h. hiányzik a Root CA az OS szinten, azt még el tudom fogadni h. alkalmazás szintjén jó dolog lehet képesnek lenni megoldani.

De olyan esetben, amikor explicit nyoma van h. baj van vele, és utána ezt az alkalmazás simán figyelmen kívül tudja hagyni, hát az nagy gondok későbbi forrása lehet.

Miért ne lehetne felülbírálni alkalmazás szintjén? Lásd pl.: Java truststore és Java alkalmazások. Az se az OS-ét használja - platformtól, OS verziótól függően.

Ha van egy saját alkalmazásom és megoldható, akkor meg simán én rakom össze a truststore-t mindentől függetlenül.

De ha saját magad gondoskodsz a Trust store-ról, akkor nem fogsz tudni róla ha közben történik valami a Pki világban. Pl kommunikálsz mindenféle külső remote host-okkal, akik mindenféle Root CA-t használnak, a te ráhatásod nélkül. Ha valamelyik megkotlik, és nem hagyod pl. az OS-nek h. automatán megkapja fél napon belül a letiltott root ca serial numberjét a feketelista részeként, akkor kompromittálódott remote host-okhoz fogsz csatlakozni, minden gyanú nélkül.

A saját truststore fenntartása egyben felelősséget is jelent. Ezt nem ússza meg senki.
Számomra is adott a lehetőség, hogy ugyanazokból a forrásokból tájékozódjak a CA-k állapotáról, mint az OS gyártók számára.

Hogy a remote host milyen CA-kat fogad el, az számomra irreleváns. Nekem csak a remote host tanúsítványait kell elfogadnom. Az meg általában elég szűk lista.

De itt nem az történik hogy a Netlock visszavonja a fő tanúsítványát, hanem azt, hogy a Google kiveszi a böngészőjéből. Az OS-ből jelenleg ez - még - nem került ki. Jogilag pedig teljesen mindegy hogy benne van-e az OS-ben vagy sem, az hogy nem neked kell telepíteni kézzel egy tanúsítványt az egy kényelmi, de semmiképp se egy jogi kérdés. 

De itt nem az történik hogy a Netlock visszavonja a fő tanúsítványát, hanem azt, hogy a Google kiveszi a böngészőjéből. Az OS-ből jelenleg ez - még - nem került ki.

Ha a Google kiveszi a böngészőjéből, akkor várhatóan előbb-utóbb a többi cert disztributor (OS vendor, browser vendor, stb.) is ki fogja venni.

az hogy nem neked kell telepíteni kézzel egy tanúsítványt az egy kényelmi, de semmiképp se egy jogi kérdés. 

Az lehet, csak akkor képzeld el azt a világot gyakorlatban, hogy pl. az összes, általad látogatott weboldal certjének főtanúsítványát neked kell telepítened, majd pedig periódikusan frissre cserélned. Dokumentum hitelesítésnél nagyjából az van, hogy elküldöd a partnernek a PDF-et, majd a partnernél Mancika megnyitja, és örül, ha azt mondja, az Acrobat Reader, hogy minden tanúsítvány érvényes, és hívja a supportot, ha nem.

Utóbbi drágább.

A Netlocknál történetesen pont ugyanannyiba került a személyre szóló üzleti aláíró tanúsítvány, mint a bélyegző tanúsítvány.

Továbbá mennyi időbélyegre van szükséged.

Az időbélyegzés az aláíró/bélyegző tanúsítványtól független, külön szolgáltatás szokott lenni, külön árazással. (Plusz: vannak a piacon olyan CA-k, akik ingyen adják az időbélyegzést.)

Az időbélyegzés az aláíró/bélyegző tanúsítványtól független, külön szolgáltatás szokott lenni, külön árazással.

Igen, ez általában igaz.
Azért is kérdeztem, mert E-szignonál van olyan csomag, amiben benne van x darab időbélyeg per hónap. Ha abba beleférsz, akkor olcsóbban megúszhatod, mint 350-550 USD per év.
Pl:
- Fokozott bronz csomag - 42eFt + ÁFA / év - igaz, itt többféle tansit is kapsz, 600 darab időbélyeg / év benne van
- Szoftveres fokozott CA2 aláíró tansi - 23eFt + ÁFA / év - ehhez kell még időbélyeget venned (mondjuk 25eFt + ÁFA-ért vehetsz mellé 1500 darabot az e-Szignotól)

( bennyh | 2025. 06. 01., v – 13:15 )

Szerkesztve: 2025. 06. 01., v – 13:17

Mi az a konkrét mintázat? Mi a konkrét gyanú?

Más:

Nadrágongyuri most fog indulni? (tudom, a cert már nem az ő biznicbe)

Szörnyű hogy mennyire nem veszik komolyan/nem értik a CA felelősségét. Őszinte leszek: bár örültem, hogy van egy teljesen magyar CA (mert ez azért jó dolog, akkor is, ha ezt az érzést mindenki igyekszik elinflálni) de ez a fajta bénázás nem tűnik jónak úgy, hogy abszolút nem most kezdték ezt a dolgot. Egy frissen alakult CA-tól azt mondom, elmegy, de ők már évtizedek óta a piacon vannak. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Nagyon szomorú ami ott történik már évek óta. Számomra szakmai hitelessége már évek óta nincs a cégnek - tulajdonostól függetlenül. Tényleg nem tudom mit gondolnak a CA "üzletág" értékéről de a ticketek alapján nagyjából semmit.

Egy security-vel foglalkozó cégnek a legfőbb értékei a hitelesség és a stabilitás.
 

zászló, zászló, szív

Azért nézzük végig a listát hogy mikbe futottak bele:

- a tanúsítvány pont aközben járt le ami alatt a tesztelő rendszert lecserélték: ez a tipikus erre nem gondoltunk helyzet
- Kiállítottak intermediate tanúsítványokat (ez baromira nem business as usual) ahol a négy szem elven plusz hibás doksin elcsúszott a történet: a ritkán végrehajtott üzleti folyamatokban azért előfordul hiba
- Weekly update nem történt meg: új kollégák + e2e processz helyett subprocessz oktatása

És akkor tegye fel a kezét az aki még nem futott bele hasonló történetekbe.

 

Az elképzelhető egyáltalán, hogy ez menedzsment probléma? Én eddig azt hittem, hogy egy üzletágban van egy szakmai vezetés, amelynek dolga, hogy ilyesmi ne fordulhasson elő, azért kapja a fizetését ui. Jó lenne tudni, hogy egy felelőtlen faszkalapra volt-e bízva ez az üzletág, aki nem törődött a szakmai normákkal, vagy valamilyen vezetői döntés megszüntette azt a felelősséget, amellyel ez a helyzet elkerülhető lett volna.

Mondjuk azt el tudom képzelni, hogy sose fogjuk megtudni. De tényleg jó lett volna, ha van ilyesmire korrekt magyar tulajdonú megoldás. Gyanítom valakit megintcsak valagba kellene rúgni, hogy elszálljon a Holdig.

Azt kell látni hogy egy CA működése elképesztően komplex és szabályozott és ehhez nagyon komoly technikai és folyamatbeli fejlettségre van szükség (másik topicokban ezt már hosszasan kifejtettük). Ahhoz meg nagyon sok pénzre, a pénzt meg az ügyfelektől lehet előteremteni akiktől viszont nehéz beszedni (lásd még hajbi sírását hogy miért olyan drága a tanúsítvány magánszemélynek. hát pontosan ezért.)

Ehhez jöjjön hozzá esetleg egy olyan cégcsoport ahol a vezetőség a prioritásokat nem úgy határozza meg amelyek a megfelelőek egy ilyen cég működése szempontjából és el is jutunk idáig. És akkor még nem beszéltünk arról hogy mennyire tudja egy ekkora cég megtartani a szakembereket amikor ott a DÁP-ot fejlesztő Qualysoft aki valószínűleg nagy örömmel veszi át a szakembereket, lévén hogy PKI-hoz ilyen szinten értő embereket három helyről lehet itthon szedni:Netlock, Microsec illetve a NISZ-nél dolgozó, vagy korábban dolgozottak.

Igy van, vannak cégek akiknek van PKI tapasztalatuk, viszont ahogy én ismerem ezek jórészt belsős PKI rendszereket építenek ahol nincs szükség olyan szintű audit megfelelésre mint amire egy CA kényszerül: nem kell common criteria alapján termék auditot csinálniuk, nem kell EIDAS és egyéb nemzeti jogszabályok alapján folyamat és működés auditokat csinálniuk, nem kell ezer külső szereplővel (lásd a fenti mozilla postot) kommunikálniuk. Egy CA működése nem csak a technikai részek miatt nehéz, hanem a működésbeli / folyamatbeli elvárások miatt.

Ott van például a CCADB nevű gittegylet - csak egy a sok közül.

Hogy valami szakmait is linkeljek: https://www.encryptionconsulting.com/capabilities-for-47-day-certificat…
Ezzel jön el az igazi rémálom. Fokozatosan leviszik a TLS tansik élettartamát 47 napra 2029. márciusára. Lesz itt anyázás mindenki részéről.

Az a baj, hogy a Google / CCADB-nél is idióták ülnek. Életükben nem foglalkoztak IT üzemeltetéssel.
Konkrét példa: Ha nekem van egy elszigetelt IT rendszerem, aminek nincs Internet kapcsolata, akkor hogy a búbánatban fogom automatikusan (mondjuk ACME) megújítani a tansikat? Főleg, ha ennek még vonzatja is van - pl: truststore / keystore / trust chain módosítás, több rendszerbe / szerverre / alkalmazásba is be kell tenni ugyanazt a tansit + láncot.
Nem lehet mindent automatizálni vagy csak óriási erőforrás befektetéssel és kockázattal.

Egyébként onnan is látszik hogy gittegylet hogy a kisebb CA-kra mutogatnak miközben ilyen van az egyik alapítónál:

Failure to Revoke in 5 Days, az érintett tanúsítványok száma: 100 millió! felett
 
https://bugzilla.mozilla.org/show_bug.cgi?id=1965612

Nem kritikus, értem én, de na...

( SkyNET | 2025. 06. 01., v – 14:11 )

Miért az idézőjel, ha nem ez a cikk címe. 

Tiltja a vallásod (meg a tűzfalad :D) a telexes linkek megnyitását?

"Cikkünk megjelenése után a Gattyán György vezette Docler cégcsoport is reagált a cikkre. Mint írták, a cégcsoport 2024-ben úgy döntött, értékesíti a Netlock Kft-ben megmaradt tulajdonrészét, a beérkezett ajánlatokból pedig egy volt számottevően értékelhető: a Columbus Magántőkealapé, amely elővásárlási joggal is rendelkezett. Így végül el is adták nekik a Netlockot, a tranzakció idén január végén zárult, így azóta a Docler cégcsoportnak a működésre nincs rálátása."

"A COLUMBUS Magántőkealapot azzal a céllal hozta létre az EXIMBANK Zrt. és a CARION Holding Zrt." ...
 

Az állami hátterű Magyar Export-Import Bank Zrt. (Eximbank) 1994 óta, nemzetközi kereskedelemre, külpiaci befektetésekre, illetve külföldi beruházásokra szakosodott banki szereplőként működik. A bank Külügyminisztérium tulajdonosi felügyelete alá tartozik. 2014-ben Puskás Andrást, Rogán Antal korábbi helyettesét nevezték ki a bank vezérigazgatóhelyettesének, ezt követően az EXIM belföldre kihelyezett hiteleinek jelentős részét kormányközeli szereplők kapták meg.

https://adatbazis.k-monitor.hu/adatbazis/cimkek/magyar-export-import-ba…

Carion:

https://444.hu/2017/03/28/rogan-antal-lekotelezettjei-nem-akartak-hogy-…

https://444.hu/2023/11/01/a-rogan-antal-fele-lakaslotto-cege-a-raktar-a…

Szerintem nincs több kérdés.
 

Az eddig is világos volt, hogy a "kormányközeli" kifejezés definíció szerint azokat jelenti, akik az állammal kötnek üzletet (van aki színre, szagra, hajszínre is meg tudja mondani, hogy ki hitelképes). A kérdésem, ami szerinted nincs, azért mégiscsak van. Ki a kutyafaszát érdekli a szóban forgó esetben, hogy a Netlock kinek a tulajdonában van és akinek a tulajdonában van szőke-e vagy nagyorrú, NER-es vagy nem NER-es? Lehet, hogy van a témához kapcsolódó összefüggés, csak én nem értem.

Ez valamiféle berágódás nálatok, a rövid nyomozás szinte mindig fölösleges, ha egy vállalkozás sikeres, akkor NER-es, ennyi, nincs több kérdés. Bizonyos esetekben ha sikertelen, attól NER-es, nincs több kérdés.

Köszi, kínos ez a trehányság a telexnek (meg persze nekem, hogy a dőlt betűs részt csak most olvastam el a cikk végén), főleg hogy @marczi kommentje alapján ( https://hup.hu/comment/3191787#comment-3191787 ) ennek döntésnek sem az ex sem az aktuális tulajdonoshoz nincsen köze.