Autoridad certificadora de Brasil, confiada solo por Microsoft, emite un certificado para google.com
(follow.agwa.name)-
Andrew Ayeragwa14h
- Una autoridad certificadora de Brasil, en la que Microsoft confía, emitió un certificado para
google.comque probablemente no estaba autorizado. Esto podría permitir interceptar el tráfico hacia Google en Edge y otras aplicaciones de Windows, excluyendo Chrome y Firefox. Microsoft conoce bien el historial de problemas relacionados con esta autoridad certificadora, expresó preocupaciones en 2021 y también se plantearon más problemas durante la discusión pública de CCADB en 2022. Ojalá este incidente impulse cambios. Los usuarios de Windows merecen algo mejor.
- Una autoridad certificadora de Brasil, en la que Microsoft confía, emitió un certificado para
-
Andrew Ayeragwa12h
- Como ejemplo de la incompetencia de la autoridad certificadora: que el sujeto del certificado incluya el número de serie de una subsidiaria de Google no significa que haya sido autorizado por Google. La autoridad certificadora puede poner lo que quiera en ese campo, y esta en particular no valida con claridad el contenido que incluye en los certificados.
-
Andrew Ayeragwa10h
- Los proxies corporativos de ataque de intermediario son muy dañinos.
1 comentarios
Opiniones de Hacker News
ICP-Brasil dejó oficialmente de emitir certificados SSL/TLS públicos en octubre: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
No solo eludió la prohibición de emitir certificados públicos, sino que también violó las reglas CAA de Google, así que es bastante grave. Espero que esta autoridad certificadora quede bloqueada permanentemente en los OS de Microsoft
certlm.mscy parece que ya se distribuyó un hotfix; no veo a ICP Brasil entre las autoridades de certificación raíz de confianzaLo peor es que ICP-Brasil, mencionada en el reporte del bug, es una entidad operada por el gobierno que se encarga de todo lo relacionado con firmas digitales
Interviene incluso en la firma digital de contratos o escrituras, y en el acceso a declaraciones de impuestos
google.comdebería resolverloSe ve muy mal. Pensé que Chrome y Firefox iban a eliminar la confianza en esta autoridad certificadora, pero resulta que ya no confiaban en ella
Que Microsoft/Windows sí confiara en una autoridad certificadora en la que otros grandes actores no confían se ve aún peor para Microsoft
Tampoco parece probable que mejore pronto, y la dirección sigue siendo hacia abajo
Antes no era confiable por defecto y había que agregarla manualmente al almacén de certificados, pero el gobierno brasileño insistía en seguir usándola en sus sitios web oficiales
Microsoft parece bastante laxo al confiar en autoridades certificadoras; sus decisiones de inclusión no son transparentes y su almacén de confianza es bastante grande
Un sitio web razonable usaría solo certificados en los que confíen los navegadores, especialmente Chrome, así que el beneficio de estas autoridades certificadoras adicionales parece bajo
No soy usuario de Windows, pero me pregunto si hay alguna forma de usar el almacén de confianza de Chrome en Windows/Edge. La lista de Microsoft se ve difícil de confiar
No intento defender a MSFT, pero por experiencia con ventas de sistemas operativos a gobiernos, nadie está ni cerca de Microsoft. Yo tendería a pensar que MSFT evalúa con cuidado la incorporación de autoridades certificadoras
Me pregunto si conoces DigiNotar, la autoridad certificadora aprobada por el gobierno neerlandés que sufrió un hackeo importante. Esa autoridad fue hackeada después de que su certificado raíz se agregara a la mayoría de los almacenes de confianza de navegadores y sistemas operativos, y era ampliamente confiable. Entonces, ¿se puede decir que MSFT confió “laxamente” en la autoridad certificadora raíz de DigiNotar? Creo que tampoco sería justo decir eso de Mozilla Firefox
Cuando veo cosas así me pregunto por qué los certificados no están firmados también por el propietario del certificado
Hoy una autoridad certificadora puede emitir un certificado para cualquier clave pública y dominio que quiera, y una autoridad certificadora confiable maliciosa puede interceptar todo el tráfico
Si el certificado incluyera no solo la firma de la autoridad certificadora, sino también la firma del propietario de esa clave pública, parecería que la autoridad certificadora no tendría esa capacidad. ¿Qué me estoy perdiendo?
La autoridad certificadora, o un atacante que engañe a la autoridad certificadora mediante fraude en el mundo real, puede convertirse en el “propietario” del par de claves usado para la segunda firma
No se resuelve simplemente reutilizando la infraestructura PKI existente usada para las raíces de confianza de las autoridades certificadoras. Se podrían distribuir claves públicas o certificados por DNS, como DANE, pero no es algo sencillo y requeriría el acuerdo de los participantes existentes de todo el ecosistema
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
Me gusta la idea general de mejorar el estado actual agregando confianza descentralizada y autogestionada encima o al lado de la PKI centralizada existente. Podría ser un paso intermedio hacia una arquitectura más sistemáticamente resiliente
Si el propietario del certificado ya tuviera una clave pública verificada con la cual firmar el certificado, no haría falta una autoridad certificadora
Me pregunto por qué Brasil logró que Microsoft confiara en su autoridad certificadora nacional. Por ejemplo, Kazajistán[1] no lo logró
Una solución simple sería que entidades independientes proporcionen afirmaciones de confianza sobre las autoridades certificadoras, y que el usuario decida si confía considerando en conjunto los criterios de varias entidades.
Sorprende que todavía no exista una estructura así cuando la ruta de ataque es tan clara.
Aunque se cree algún método alternativo de PKI, no estaría libre del problema de los acuerdos que haga Microsoft.
El problema está entre el teclado y la silla. A los usuarios ya les cuesta entender SSL. Los navegadores consideraron que la diferencia entre EV, DV y OV era demasiado complicada y la ocultaron.
Si la abuela abre el sitio del banco y el certificado es confiable para Google, Apple y Microsoft, pero no para Mozilla, y el plugin del navegador muestra un indicador de confianza verde amarillento, ¿cómo lo interpretaría?
Lamentablemente, la confianza es binaria. Cuando la abuela hace clic en el marcador del banco, ve el sitio web del banco o ve una advertencia aterradora.
Solo viendo el texto original, no queda claro si esto fue un error o algo intencional.
Porque estaba garantizado que lo descubrirían y era obvio que generaría una controversia capaz de poner en riesgo justamente la funcionalidad que habían preparado con un costo considerable.
google.com.¿Existe siquiera un escenario no malicioso?
Es una especulación, pero suena a colusión intencional o coerción entre un gobierno y una gran empresa.
Por ejemplo, que el gobierno de Brasil le exija a Microsoft permitir acceso para ataques de intermediario en dispositivos Windows a cambio del derecho a operar en el país.
Los gobiernos suelen llevar a cabo sus malos planes en secreto. Algo así es demasiado difícil de hacer sin que se descubra, así que no es un enfoque viable. El hecho de que estemos leyendo este artículo en HN es justamente un ejemplo de eso.
Ojalá alguien tuviera una lista de autoridades certificadoras estatales o vinculadas a Estados. Me gustaría eliminarlas todas.
Es difícil determinar qué autoridades certificadoras son operadas o controladas por gobiernos. No siempre queda claro por el nombre, una empresa privada también podría operar siguiendo instrucciones del gobierno, y legalmente una autoridad certificadora podría estar obligada a cumplir solicitudes gubernamentales.
Las de esa lista eran todas organizaciones gubernamentales o militares que operan autoridades certificadoras de forma muy clara, y la autoridad certificadora brasileña mencionada aquí es la segunda de la lista.
[1] https://alexsci.com/blog/ca-trust/#government-control-of-cas