Certificados digitais emitidos recentemente para hospedagem interna agora procuram banidos por uso indevido incorporação, outras CAs não estão emitindo o novo servidor de hospedagem e usando o antigo que tem graves insetos
[dropcap] C [/ dropcap] omodo disse na segunda-feira que alterou um bug que levou à emissão de algumas autenticações avançadas agora banidas. Outras CAs podem ter o mesmo problema ao emitir as certificações de autoridade certificada, mas algumas das autoridades sem saber da violação de segurança ainda estão usando as mesmas componente no fórum, isso é o que precisa ser limpo do servidor de hospedagem, o novo servidor foi estabelecido pela administração, mas alguns dos outros CAs não estão faltando neste novo servidor.
Sob as novas diretrizes do CA / Browser Forum (CAB), que entrou em vigor em 1, as autoridades de certificação (CAs) não devem emitir novos certificados SSL / TLS (Secure Sockets Layer / Transport Layer Security) para nomes de host internos. Comodo estava pronto para a mudança de princípio, no entanto, um "bug discreto" foi apresentado em sua estrutura de emissão em outubro. 30, compôs Rob Stradling, pesquisador sênior de trabalho inovador, em uma postagem no Fórum CAB.
“Independentemente de nossa auditoria de código e formulários de controle de qualidade, esse bug ainda chegou ao código de criação”, compôs Stradling. O resultado foi que oito endossos acabaram sendo emitidos que não deveriam ter sido, e essas autenticações agora foram repudiadas, ele compôs. CAs diferentes podem ter tido o mesmo problema. Stradling escreveu que "descobrimos autenticações resistentes emitidas por um número significativo de CAs diferentes, mas vou arquivá-las em outra postagem".
A motivação por trás do motivo pelo qual os CAs deveriam emitir testamentos SSL / TLS para sistemas internos é evitar ataques man-in-the-center. Organizações e associações costumam adquirir testamentos SSL / TLS para servidores ou gadgets com nomes de host internos que não podem ser vistos na Internet da sociedade em geral. Esses testamentos são utilizados para verificar as máquinas que estão conversando entre si. Seja como for, uma vez que as associações não são CAs, elas precisaram comprar essas autenticações de CAs.
Embora as CAs aceitem a demanda por autenticações computadorizadas para áreas abertas para garantir que o elemento certo está pedindo uma, eles não podem fazer isso para o caso interno. Isso torna viável para um agressor adquirir um endosso avançado para um servidor com um nome insípido, para exemplo, "local.host" e, posteriormente, utilizá-lo em um ataque para filtrar a atividade de informação codificada de outro Associação.
Leia também:
Em outubro de 2016, os CAs devem repudiar os testamentos para hosts internos se esses endossos ainda não tiverem expirado. Stradling concluiu que um hot fix foi apropriado cerca de duas horas depois que Comodo encontrou o problema. “Lamentamos que nosso uso deste imperativo e desde há muito tempo a mudança de estratégia experimentada tenha caído abaixo das referências que são antecipadas de nós e que esperamos de nós mesmos, ”Straddling composto.