Chứng chỉ UserTrust.com giả trong Chrome?


8

Tôi đã cố gắng cài đặt chứng chỉ SSL, khi tôi đào sâu vào Cài đặt Chrome và xem xét các chứng chỉ đã cài đặt (tab máy chủ).

Những thứ đó được đánh dấu là Không an toàn và chúng có liên quan đến mail.google.com, login.skype.com, login.live.com, addons.mozilla.org và một vài thứ nữa, trong một thư mục có tên "Google Ldt." .

Ví dụ,

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

kết quả là

Common Name: mail.google.com
Subject Alternative Names: mail.google.com, www.mail.google.com
Organization: Google Ltd.
Organization Unit: Tech Dept.
Locality: English
State: Florida
Country: US
Valid From: March 14, 2011
Valid To: March 14, 2014
Issuer: UTN-USERFirst-Hardware, The USERTRUST Network Write review of Comodo
Key Size: 2048 bit
Serial Number: 047ecbe9fca55f7bd09eae36e10cae1e

Họ có an toàn không?

Câu trả lời:


12

Chúng KHÔNG an toàn và đó là lý do tại sao chúng được đánh dấu là Không đáng tin cậy . Đây là những chứng chỉ không có thật. Xem bài viết này trên EFF :

Vào ngày 15 tháng 3, Cơ quan cấp chứng chỉ HTTPS / TLS (CA) đã bị lừa để cấp giấy chứng nhận gian lận gây rủi ro nghiêm trọng cho bảo mật Internet. Dựa trên thông tin hiện có, sự cố đã đến gần - nhưng không hoàn toàn - một cuộc khủng hoảng bảo mật trên Internet. Vì bài đăng này sẽ giải thích, những sự kiện này cho thấy lý do tại sao chúng tôi cần khẩn trương bắt đầu củng cố hệ thống hiện đang được sử dụng để xác thực và xác định các trang web và hệ thống email an toàn.

Có một bài đăng trên blog của Dự án Tor của Jacob Appelbaum, phân tích việc thu hồi một số chứng chỉ HTTPS tuần trước. Các bản vá cho các trình duyệt web chính đã liệt kê một số chứng chỉ TLS đã được cấp sau khi tin tặc đột nhập vào Tổ chức phát hành chứng chỉ. Appelbaum và những người khác có thể tham chiếu chéo các số sê-ri của chứng chỉ trong danh sách đen dựa trên bộ sưu tập danh sách thu hồi chứng chỉ toàn diện (các URL CRL này có được bằng cách truy vấn cơ sở dữ liệu quan sát SSL của EFF) để biết CA nào bị ảnh hưởng.

Câu trả lời là chứng chỉ UserTrust "UTN-USERFirst-Phần cứng" thuộc sở hữu của Comodo, một trong những CA lớn nhất trên web. Comodo hiện đã xuất bản một tuyên bố về các certs được phát hành không đúng, dành cho các tên miền có giá trị cực cao bao gồm google.com, login.yahoo.com và addons.mozilla.org (tên miền cuối cùng này có thể được sử dụng để trojan bất kỳ hệ thống nào đang cài đặt một tiện ích mở rộng Firefox mới, mặc dù các bản cập nhật cho các tiện ích mở rộng được cài đặt trước đó có lớp bảo vệ thứ hai khỏi chữ ký XPI). Một chứng chỉ dành cho "người được ủy thác toàn cầu" - không phải là một tên miền. Đó có lẽ là một chứng chỉ CA độc hại có thể được sử dụng để mạo danh hoàn hảo bất kỳ tên miền nào trên Web.


Cảm ơn vì thông tin. Tôi đã kiểm tra những chứng chỉ mà Gmail đang sử dụng bằng cách nhấp vào bên trái trên thanh địa chỉ và tôi an toàn. Có vẻ như Chrome đã đưa những lỗi đó vào danh sách đen, nhưng, thực tế là chúng ở đó, có nghĩa là tôi đã bị nhiễm bệnh trong quá khứ ?
whitenoisedb

@redraw không, họ ở đó theo mặc định. Bạn có thể kiểm tra bằng cách cài đặt mới trên VM. Tôi đoán là Google thêm chúng vào danh sách không đáng tin cậy vì certs được cấp cho các tên miền của Google và CA là một danh tiếng nổi tiếng và đáng tin cậy sau đó.
muru
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.