NetLock OCSP/CRL DoS

Ez a levél érkezett a postaládámba:

---

from: NetLock Kft.
date: Thu, Jan 10, 2013 at 6:26 PM
subject: NetLock Kft. - OCSP Stapling beállítása a web szerverén

Tisztelt Ügyfelünk,
A napokban szervereink irracionális terhelést kaptak a visszavonási információk letöltése kapcsán (OCSP, CRL), amely letöltések, így egyes esetekben lelassulhattak, ami az Ön által SSL tanúsítvánnyal védett oldallal történő kapcsolatfelvétel lelassulását eredményezheti.
Az okokat jelenleg is vizsgáljuk, azonban általában javasolt, hogy amennyiben szervere támogatja az OCSP Stapling funkciót (Apache 2.3 és újabb, IIS 7-Windows 2008 szerveren és újabb, NginX 1.3.7 és újabb verziók), akkor a ERŐSEN AJÁNLOTT, HOGY BEÁLLÍTSA AZT, hiszen ügyfelei a weboldalán a kapcsolat sebességének növekedését fogják tapasztalni.
A beállítások elvégzéséhez készült útmutatóink segítségével ez már könnyen elvégezhető, kérjük, tekintse meg őket.
Az útmutató elérhető a következő oldalról:
http://www.netlock.hu/html/termektamogatas.html#szerverek
Az útmutató közvetlen linkje:
http://www.netlock.hu/docs/segedletek/szerver_ocsp_stapling_sha256.pdf
A beállításhoz szükséges tanúsítványok egyesített csomagjának közvetlen linkje:
http://www.netlock.hu/docs/letoltes/ssl_kiadok_csomag.zip

A sikeres OCSP Stapling beállításról, tapasztalatairól, ha visszajelez, szívesen vesszük.

Üdvözlettel:
NetLock Kft.
Ügyfélszolgálat

---

Vajon mi történhetett? Talán egy olyan támadást intéztek közben valaki más ellen, amelyhez NetLock visszavonási listán lévő tanúsítványt használtak fel és így biztosították azt, hogy a megtámadott rendszere ne tudja ellenőrízni a CRL-t a NetLocknál? ;)

Azt már csak halkan jegyzem meg egyébként, hogy a NetLock levele nincs digitálisan aláírva, így a hitelességéről nehéz kapásból meggyőződni...

( mauzi v | 2013. 01. 10., cs – 22:29 )

SYN flood volt, nem először. Az OCSP stapling jó lehetőség lesz majd, ha majd minden támogatni fogja, addig viszont tömény szívás van, ha CRL szervert DDoS-olják/nem elérhető.

A mai korszerű szoftverek (nagyon helyesen) ellenőrzik a CRL-t, viszont ez a Netlock támadás mellett azt jelentette, hogy minden kapcsolatfelvétel hosszú másodperceket vett igénybe, a telefonvonalak meg izzottak...

Lehet, hogy a korszerű szoftverek ellenőrzik manapság a CRL-t _és_ ha nem sikerül, akkor jeleznek, de egy rakás kevésbé népszerű szoftver működik még mindenhol a nagyvilágban (pl. .gov környéken is ;), amelyek nem tesznek így és elérhetetlen CRL esetén probléma nélkül tovább futnak, ahogy a böngészők is tették még nem olyan rég.

Szóval nem csodálkoznék, hogyha ez a DoS a NetLock ellen egy darabka lett volna egy nagyobb és komolyabb támadás puzzlejében... ;)

"Szóval nem csodálkoznék, hogyha ez a DoS a NetLock ellen egy darabka lett volna egy nagyobb és komolyabb támadás puzzlejében..."
Received: from hutch.netlock.in ([10.0.4.2]) by hutch.netlock.in ([10.0.4.2])
with mapi; Thu, 10 Jan 2013 18:18:36 +0100

A netlock.in-t mindenesetre regisztráljuk, hátha megyünk még vele valamire, mmkay?
--
zsebHUP-ot használok!