<<< PKI oktatásMD5-re épülő tanúsítványok hamisítása >>>

Comodo ügy2009-01-12
Nagy port kavart fel, amikor a közelmúltban egy Mozilla-aktivista vásárolt egy SSL szerver tanúsítványt a mozilla.com domainre egy nagy nemzetközi hitelesítés szolgáltató, a Comodo egy viszonteladójától. A tanúsítványt ugyanis nem a domain tulajdonosa vásárolta, és az illető egyáltalán nem jogosult a Mozilla címére tanúsítványt igényelni. Állítása szerint semmilyen ellenőrzés nem történt a tanúsítvány kibocsátása során, a Commodo viszonteladó kérdés nélkül kibocsátotta a számára az SSL tanúsítványt. Mindebből azt vonta le, hogy az adott viszonteladó általában így szokott eljárni, és így akár bárki bármilyen domainre igényelhetne SSL tanúsítványt.

SSL segítségével a kérdéses webszerver tanúsítványa alapján győződhetünk meg róla, hogy valóban azzal a weboldallal kommunikálunk, amelyikkel szeretnénk. Ha igaz lenne, hogy bárki bármilyen névre/címre igényelhet tanúsítványt, egy támadó bármely oldalt megszemélyesíthetne.

A Mozilla komolyan vette az ügyet és megkezdte annak kivizsgálását.

A Comodo 25%-ra taksálja saját piaci részesedését az SSL tanúsítványok globális piacán. Így ha a Mozilla drasztikus szankciókat alkalmazna a Comodoval szemben (pl. alapértelmezetten elutasítaná a comodos tanúsítványokat), valószínűleg minden résztvevő rosszul járna: aki comodos tanúsítványt vett, annak egyszer csak nem működik a tanúsítványa Mozilla alatt; a Comodonak nagy veszteségei lennének, mert sokan visszakövetelnék a pénzüket; a Mozilla nem működne egy csomó weboldallal; és a Comodo valószínűleg be is perelné a Mozillát.

Számomra kissé elszomorító, hogy úgy tűnik, nem sok eszköz van egy nagy CA-val szemben. Ha szolgáltatók egy adott körét fogadjuk el valamilyen célra (pl. SSL tanúsítványok hitelesítésére), a PKI legfeljebb akkora biztonságot jelenthet, mint a legkisebb biztonsággal működő szolgáltató legkisebb biztonsággal működő viszonteladója. Hibás tanúsítványok, hibás gyakorlatok bármikor előfordulhatnak, kíváncsi vagyok, mi lesz az ügy eredménye.

(A Comodo egyébként ingyenes informatikai biztonsági szoftvereket is készít, ezzel is hírverést csapva tanúsítványainak. A napokban próbáltam ki a Comodo Internet Security /tűzfal+vírusölő/ ingyenes változatát, és egyelőre nagyon jók a tapasztalataim.)

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.