Mozilla Firefox 6.0.1 && 3.6.21

Mozilla

A Mozilla bejelentette a Mozilla Firefox 6.0.1 és 3.6.21 biztonsági frissítéseket. Elérhetők Windows, Mac és Linux rendszerekre. Erősen ajánlott a frissítés. A bejelentés elolvasható itt.

( srrrgei | 2011. 08. 31., sze – 14:14 )

Aki nem hallott volna róla, a DigiNotar.nl kompromitálódott és vélhetően az iráni kormány rendelkezésére bocsátott egy tanúsítványt vagy rosszabb esetben a privát kulcsukat, amivel a kormány man-in-the-middle támadást hajtott végre a *.google.com domain-ek ellen (valószínűleg a gmail-t célozva). Ez valószínűleg csak az iráni felhasználókat érintette. Ez a biztonsági frissítés a diginotar root tanúsítványát tiltja le a böngészőben. Asszem a diginotar-nak annyi...
Ha tesztelni szeretnéd, hogy nálad is le van -e tiltva, akkor látogasd meg a diginotar.nl-t. Ha figyelmeztetést kapsz a böngésződtől, akkor minden ok. Ha nem, akkor a böngésződ még hitelesnek fogadja el a DigiNotar tanúsítványát (és mindent, amit ezzel hitelesítenek). Kézileg letiltani Firefoxban a következőképpen tudod: Options->Advanced tab->Encryption tab->View certificates gomb->kikeresed és kijelölöd a "Diginotar Root CA" bejegyzést->Delete or distrust gomb. A többi böngészőt nem ismerem.

Google security blog bejegyzés az esetről: http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-ma…
A The Register cikke: http://www.theregister.co.uk/2011/08/29/fraudulent_google_ssl_certifica…
A kérdéses tanúsítvány: http://pastebin.com/ff7Yg663
Így tudod magad is ellenőrizni: http://pastebin.com/SwCZqskV (ezt nem próbáltam, már lehet, hogy nem jó, mert elvileg már visszavonták a tanúsítványt)

Mellesleg ez egy újabb bizonyítéka annak, hogy el kéne gondolkozni rajta, hogy tényleg jó ötlet húszezermillió cégre bízni a tanúsítványok kiállítását állami cégek helyett. Ezt tipikusan szerintem a TLD-khez kellene kötni.

"Ha tesztelni szeretnéd, hogy nálad is le van -e tiltva, akkor látogasd meg a diginotar.nl-t."

...https-en, ha valakinek nem lenne egyértelmű. :)

"Mellesleg ez egy újabb bizonyítéka annak, hogy el kéne gondolkozni rajta, hogy tényleg jó ötlet húszezermillió cégre bízni a tanúsítványok kiállítását állami cégek helyett. Ezt tipikusan szerintem a TLD-khez kellene kötni."

Egyetértek, de állami cégekre sem bíznám. Mondanám, hogy ott az ICANN, de ők is csak egy állami cég végső soron. Valamilyen nemzetközi független szervezet kellene, nem tudom, van-e ilyen ezen a szakterületen.

--
Don't be an Ubuntard!

És www előtaggal!

"Megpróbálta megnyitni a diginotar.com webhelyet, ám ehelyett egy olyan szerverre jutott el, amely a következőképpen azonosítja magát: www.diginotar.com"

https://diginotar.com ezt dobja, https://www.diginotar.com redirectel http-re, de előtte még felvillant a zöld négyzet ami az elfogadott tanúsítványt jelenti.

Az MS ennél biztonságosabban oldja meg a kompromittálódott cert-ek kezelését: explicite beteszi a NEM-megbízható listába. Ez sokkal elegánsabb, mint szimplán kitörölni a megbízható listából. pl. egy ismeretlen CA-ban megbízni még mindig sokkal könnyebb rávenni az end-usert, mint rávenni egy azonosítottan veszélyesben való megbízásra!

Vagy esetleg csinálhatnák azt, mint a Chrome és az Opera, hogy on-the-fly ellenőrzik, hogy nem lett-e visszavonva a tanúsítvány, és így nem egy héttel később kerül kiadásra egy teljesen új böngésző, amiben le van tiltva a teljes Root CA. Esetleg.

--
The Elder Scrolls V: Skyrim

Az Opera és a Chrome se ellenőrzi alapból a visszavonási listákat, mert gyakran elérhetetlenek az OCSP szerverek. FF-ben is beállíthatod az about:config-ban: security.OCSP.require
---
Informatikai Biztonság Wiki
http://osbuda.hu/biztonsag
https://facebook.com/informatikai.biztonsag

Google sajtóbejelentés: Google Chrome users were protected from this attack because Chrome was able to detect the fraudulent certificate.

Opera sajtóbejelentés: Opera always verifies that certificates are not revoked, and unlike other browsers Opera does not display sites as secure if access to revocation servers has been blocked by an attacker. Read more about this issue on the Security Group blog.

Neked ezekből hol jön le, hogy ezek "sem ellenőrzik alapból a visszavonási listákat"?

A Firefoxban meg sokra mennek ezzel az alapból kikapcsolt beállítással azok a szerencsétlen irániak, akiknek valószínű, hogy az első adandó alkalommal végigolvasták a levelezéseit.

--
The Elder Scrolls V: Skyrim

Először az jutott eszembe, hogy vajon miért lépett meg mindenki ilyen drasztikus lépést, hogy eltávolítja a Root CA-t. Hiszen alig néhány hónapja volt a Comodo-nál majdnem ugyanez. Aztán utánaolvasva kiderült néhány különbség, ami indokolttá teszi a kitiltást (ha valakinek van még információja, ne tartsa vissza!):

  • A Comodo szinte azonnal észrevette a hibát, visszavonta a tanúsítványokat és rögtön értesítette az érintetteket
  • A DigiNotar július 19-én észlelte a behatolást a CA infrastruktúrájába. Csöndesen visszavonta a tanúsítványokat, de egyet "elfelejtett". A Google vette észre, és ő szólt nekik, hogy gond van.
  • A Comodo az érintettekkel azonnal nyílt lapokkal játszott (igaz, valamilyen oknál fogva az érintettek majd' egy hétig titokban tartották az esetet!), a DigiNotar sokáig nem is reagált. A press release is, hát, bicskanyitogató stílusú.
  • Azt hiszem, a Comodo lényegesen nagyobb játékos az SSL piacon, mint a DigiNotar (volt)

Egy ilyen CA valóban húzza le a rolót. Csak szerencsétlen ügyfeleit sajnálom, akik nem tehettek semmiről, és most mégis tanúsítvány nélkül maradtak.

"szerencsétlen ügyfeleit sajnálom, akik nem tehettek semmiről, és most mégis tanúsítvány nélkül maradtak."

Nem lehetne ezt jobban csinálni? Valami redundáns módon, ha egy hitelesítő kiesik, akkor legyen másnál is tanúsítvány? Akár 3 hitelesítőnél is lehetne ellenőrizni akkor, és ha egyik kompromittálódik, akkor a többit ellenőrizve az ilyen problémák fel se merülhetnének

Hát ezt úgy mondod, mintha a többi jobb lenne...

Már nem emlékszem, hogy melyik konferencián szerepelt az SSL observatory. De megmutatták, hogy abszolúte hibás tanusítványokat adnak ki a CA-k, akár az EV kategóriában is.

Volt localhost, 127.0.0.1 de privát IP címre szóló tanusítvány is.

Kb. fél éve a kínai állam egyik cége is bekerült a böngészőkbe... (mi kell még?)

Majd jön a DNSSEC meg a DANE és ott majd az USA goverment fogja az SSH kulcsaidat a dnsben cserélgetni ha nem tetszel nekik. Talán .hu alatt még(?) nem.

( uid_16591 | 2011. 08. 31., sze – 14:35 )

azt az exit gombot meg kell meg szokni, meg nem is egeszen ertem miert jobb igy a kilepes

[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS

( eleinor v | 2011. 08. 31., sze – 14:44 )

És mi van akkor, ha a 6.0 https-en nem megbízhatónak minősíti az oldalt? Vagy mindenképp kell emiatt 6.0.1-re frissíteni?

( manfreed (nem ellenőrzött) | 2011. 08. 31., sze – 15:26 )

Ubuntu, miért nem nyomod ki a 13-as chromiumot még mindig? Legalább emiatt sürgetnéd meg magad...

Meglepődtek, hogy a frissítés nem Mozilla 7-ként érkezett és most tanácskoznak a verziószám fölött. :))
--------------------------------------------------------------------------
"Az egyetlen bajom az életemmel, hogy nem valaki más vagyok" (Woody Allen)