Изучаем вопросы интернет безопасности на примере приложения "Парковки Москвы"

[ezhick]

В продолжение пятничного поста про использование в Парковках Москвы доменов третьего уровня, указывающих на сервера ОАО "Электронная Москва", однако находящихся вне контроля как самой ЭМ, так и других московских структур, публикую нарытую читателями занимательную информацию. При проверке сертификата на одном из этих доменов выявляется вот такая

Comments

[redart98]

Значит смотрите, как устроен мир сертификатов, если очень коротко
1. Владелец сайта генерит пару секретный/открытый ключ. Секретный прячет и никому не дает. Открытый, вместе с текстовым описанием (минимум - dns имя сайта, опционально название компании и пр.) отправляет в CA (Certificate Authority).
2. CA убедившись в верности данных на основе открытого ключа формирует сертификат и отправляет владельцу
3. Владелец на сервере устанавливает сертификат и секретный ключ. Сертификат в дальнейшем может передается клиентам, для расшифровки трафика, закрытый ключ используется для шифрования.

Вот faq thawte:
https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=INFO1117&actp=LIST
Там написано, что они при получении запроса на сертификат отправят е-мейл со секретной ссылкой на адрес вида admin@domain.com. И, соответственно, владелец сайта должен перейти по ссылке, чтобы подтвердить свои права.

В нашем случае запрос уйдет на admin@gorms.mobi. То есть на почтовый сервер айлайн (см. например тут - http://www.dnsqueries.com/en/mx-lookup.php). И да - злодей из айлайна таким образом может перевыпустить сертификат для своего злодейского сервера, для свежесгенеренного ключа, даже если изначально закрытого ключа у него не было. Причем может это сделать еще до того, как изменит DNS запись, так что можно и не париться по поводу ночной спецоперации.

Кто получал сейчашний ключ сказать сложно. Возможно, его сгенерил сотрудник ЭМ на боевом сервере, а затем попросил Айлайн проверить почту. Возможно его сгенерил сотрудник Айлайн у себя, а потом установил на боевой сервер, (не)оставив себе копию.

"Не бывает владельца" - в том смысле, как это говорится про домен. Есть человек, у которого есть пара ключей и сертификат, в котором что-то написано. "Сертификат этот принадлежит американской корпорации" -> "Сертификат этот был выдан на имя американской корпорации". При этом тот, кто контролирует домен, может получать новые сертификаты в свое удовольствие.

Ремизова не из того поста посмотрел. Конечно, Дерябин.