網路愈來愈不安全,能自救的方式並不多…
這兩件事情加起來會不會太巧合… 首先是有攻擊者成功利用 Comodo CA 產生 www.google.com、login.yahoo.com、login.skype.com、addons.mozilla.org、login.live.com 的 SSL certificate:「Report of incident on 15-MAR-2011」,雖然被 revoke (撤銷),但是我們知道...
View Article在 Perl 裡用 LWP::UserAgent (以及繼承它的模組) 時使用 HTTPS 連線處理 CA 認證…
libwww-perl 裡的 LWP::UserAgent 可以處理 HTTPS,並利用 CA 驗證 public key 是否簽過。在 FreeBSD 下安裝 ca_root_nss 後可以在 /usr/local/share/certs/ 下看到檔案,於是可以這樣用: #!/usr/bin/env perl use strict; use warnings; use...
View ArticleSSL Certification 驗證問題中 Google 提供的改善方法…
Google 在愚人節在 Google Online Security Blog 上發表的方法:「Improving SSL certificate security」,試著提供一些資源幫助解決 SSL certification 目前遇到的問題… 前陣子 Comodo 的下游被破台後 (還不只一家),有不少人又開始在探討現有 SSL certification 所用的 PKI 架構...
View ArticleClik here to view.
Certificate Partol 看到有趣的東西:member.cht.com.tw
member.cht.com.tw 換憑證,看起來是 30 days trial certificate,剛上線 :o Related Posts: 在 Perl 裡用 LWP::UserAgent (以及繼承它的模組) 時使用 HTTPS 連線處理 CA 認證… 網路愈來愈不安全,能自救的方式並不多… 這次 TURKTRUST 誤發 *.google.com SSL 憑證… 安裝...
View Article這次 TURKTRUST 誤發 *.google.com SSL 憑證…
這次 TURKTRUST 誤發 *.google.com 憑證被 Google 當初佈下的網子抓到:「Enhancing digital certificate security」。 首先是每次 CA 出問題後都會對目前的 PKI 提出質疑的文章 (像是「TURKTRUST Incident Raises Renewed Questions About CA...
View Article建一個 Root CA 的開銷…
在 cryptography mailing list 上有人問了這個問題,結果 Entrust 的 CTO,Jon Callas 跑出來回答:「How much does it cost to start a root CA ?」。 答案是,第一次的費用大約 25 萬美金,其中人事費用佔很大一塊。另外每年還有固定的維護費用...
View Article法國政府 ANSSI 偽造 Google 的 SSL 憑證被抓到…
Google 在 Google Chrome 裡面有放一段 SSL 白名單 (transport_security_state_static.json),針對某些特定 domain 只允許特定的 CA 所發出來的 SSL 憑證,另外當發現異常時也會回報。 這個機制可以保證在白名單內的網域比較不容易被 CA 搞到。 前幾天 Google 偵測到法國政府 ANSSI 的一個中介憑證發行單位...
View ArticleFirefox 也要支援 Public Key Pinning Extension for HTTP
在「Mozilla to Support Key Pinning in Firefox 32」看到的新聞,目前的標準還是 draft:「Public Key Pinning Extension for HTTP」。 被簡稱 PKP 與 HPKP:(一般比較常用前者) We call this "public key pinning" (PKP); in particular, this...
View ArticleClik here to view.
中國大陸的 CA Root
在 Google Chrome 裡面意外看到中文,才跑去查: 找到去年年初的「天朝颁发的证书一览表」這篇,把該拔的拔一拔... 目前先關掉 CNNIC 與 WoSign 這兩家,共四把: Related Posts: 這次 TURKTRUST 誤發 *.google.com SSL 憑證… Firefox 也要支援 Public Key Pinning Extension for HTTP SSL...
View Article產生 SHA256 的 SSL Certificate
在「Adding an (SHA256 signed) SSL certificate」這篇文章裡提到要如何簽出帶 SHA256 的 SSL certificate,重點在於要先生出有 SHA256 的 CSR,然後拿著這份給 CA 簽。 先照抄過來,看起來是有 encrypted 過的版本: openssl genrsa -aes256 -out example-encrypted.key...
View ArticleMozilla 提供的 SSL/TLS Server Side 設定
最近一直在看這方面的資料,所以就一直看一直寫... Mozilla 有一份 wiki document 把 server side 的設定給整理出來,可以當作起點來看,不過裡面還是講得很省略,如果沒有背景知識的話,應該會理解得很辛苦:「Security/Server Side TLS」。 裡面給了一些速食套餐 (算是 cheatsheet),像是 cipher...
View Article關於 .onion SSL Certificate 的表決 (Tor Network)
關於 .onion 的 SSL Certificate,在 CAB Forum 這邊提出來表決了:「Ballot 144 – Validation rules for .onion names」。 有些時間限制與一般的 SSL Certificate 不太一樣: CAs MUST NOT issue a Certificate that includes a Domain Name where...
View ArticleClik here to view.
聯想在筆電上安裝 Adware
今天的大條新聞,不少傳統媒體也都有報導: Lenovo taken to task over 'malicious' adware How Lenovo's Superfish 'Malware' Works And What You Can Do To Kill It Lenovo caught installing adware on new computers 另外「Lenovo...
View ArticleClik here to view.
聯想對 Superfish 的新聞稿、反安裝說明,以及影響的機器列表
上一篇「聯想在筆電上安裝 Adware」由於被證實每一台機器都是一樣的 CA key,所以這把 key 將可以拿來攻擊這些電腦。 各家的 Spyware/Adware/Malware 清除軟體都把 Superfish 納入了: Looks like Redmond invoked the nuclear option on Superfish > RT @FiloSottile: GO...
View ArticleClik here to view.
刪除 Mac OS X 裡面與政府相關的 SSL certificate
最近因為 Superfish 的關係,對 root certificate 的檢視就愈來愈仔細,在「The Mac Facilitates Spying Too」這篇文章裡,作者發現 Mac OS X 裡面有不少可疑的憑證,像是 DoD (美國政府): 文章裡面提到包括了 US、JP、CN、TW。 有人在 GitHub 上放了 script,可以簡單的清除掉這些 root CA:「Delete...
View ArticleComodo 的 PrivDog 更厲害:直接關掉 CA Certificate 檢查
感覺接下來的整個月會拿有無窮無盡的 Superfish-like 新聞,下次如果出現 NSA 或是 GCHQ 已經在用這些漏洞的話也不太意外就是了:「Adware Privdog worse than Superfish」。 PrivDog 是 Comodo 發行的 adware,比起 Superfish 更厲害,直接把 CA Certificate 的檢查關掉: It will turn...
View ArticleClik here to view.
CNNIC 所發出的 MCS Holdings 發出 Gmail 的 SSL 憑證,攻擊 Gmail 使用者
Google Online Security Blog 來的消息,CNNIC 授權 MCS Holdings 的 Intermediate certificate 被拿來發 www.gmail.com 的憑證:「Maintaining digital certificate security」。 Mozilla 也發出警告:「Revoking Trust in one CNNIC...
View ArticleCNNIC 的根憑證 (包括 EV) 從 Google 全系列產品移除
在「Maintaining digital certificate security」這篇文章裡的更新: Update - April 1: As a result of a joint investigation of the events surrounding this incident by Google and CNNIC, we have decided that the CNNIC...
View ArticleMozilla 也宣佈移除 CNNIC 根憑證
繼「CNNIC 的根憑證 (包括 EV) 從 Google 全系列產品移除」之後,Mozilla 也宣佈了移除 CNNIC 的根憑證:「Distrusting New CNNIC Certificates」。 類似的模式,現有 CNNIC 所發出的 SSL certificate 還是可以繼續使用,但新的將被移除: [...], we have decided to update our code...
View ArticleCA/Browser Forum 討論網域認證與 CNNIC 的事情
兩個禮拜前 CA/Browser Forum 的會議記錄,討論了網域認證以及 CNNIC 的事情:「Minutes of CA-Browser Forum Meeting – 2 April 2015」。 由於 US-CERT 的關切,看起來「認證」這件事情 CA/Browser Forum 暫時不會有改善了: The consensus was that US-CERT was...
View Article