HTTPS/TLS: Certificats de Milliers de Sites web défectueux

0
15

De nombreux Sites internet de vos Certificats d’échanger, de certificats intermédiaires ont été émis un risque pour la Sécurité.

Article
de
Hanno Böck publié le
7. Juillet 2020, 14:21 Pm

Pour beaucoup de Sites, il est dit: Certificats d’échanger.
(Image: Satdeep Gill, Wikimedia Commons/CC-BY-SA 4.0)

Un grand Nombre de TLS-les certificats intermédiaires n’a pas été délivré. Les personnes concernées Certificats intermédiaires ne peuvent pas seulement de l’Exposition par d’autres Certificats sont utilisées, mais aussi des Réponses OCSP délivrer. OCSP est un Système de la Validité du certificat peut être vérifiée.

Contenu:

  1. HTTPS/TLS: Certificats de Milliers de Sites web défectueux
  2. Microsoft, DHL et les Banques concernées

Lors des Certificats TLS signer les organismes de Certification sont généralement pas directement. Au lieu de cela, le Certificat Racine d’abord un certificat Intermédiaire signé, le tour de la véritable Certificats signés, qui est d’environ être utilisé pour la connexion HTTPS pour sécuriser. Toute une Série de ces Certificats sont incorrectes, car en plus de l’Autorisation d’émission de certificat également contenir un Indicateur qui vous permet de Réponses OCSP de signer.

Conscience de ce Problème avait fait le Développeur de Google Ryan Sleevi. Les Certificats sont contraires à la soi-disant ligne de Base des Exigences, des Règles, sur le Navigateur et les organismes de Certification ont convenu.

Les certificats intermédiaires peuvent donner des Réponses OCSP créer

Selon Sleevi, les Certificats, mais aussi un Problème de sécurité. Dans de nombreux Cas, il s’agit de Certificats intermédiaires, qui ne sont pas de la Zertifzierungsstelle elles-mêmes contrôlées, mais à des tierces parties. L’émission de certificat est en partie limitée, et seulement pour certains d’Hôte les Certificats. Mais la OCSP Fonctionnalité des Certificats est valable indéfiniment.

Le marché de l’emploi

  1. Office fédéral de la protection Sociale, Bonn
  2. Ville libre et Hanséatique de Hambourg, l’Autorité pour l’Intérieur et du Sport Office national de protection de la constitution, Hambourg

De fait, elle amène à ce que les Titulaires des Certificats, OCSP et des Réponses peuvent fausser, et ce, pour tous les Certificats, directement ou indirectement, par des personnes concernées d’autorité de Certification Racine ont été émises.

OCSP est un Système de Certification de la Validité des Certificats de confirmer. Il permet à un Client d’un Certificat vérifier si il est encore valable ou, par exemple en raison d’un compromis Clé en retrait et marqué comme non valide a été.

Les certificats peuvent s’auto-valider les

Ryan Sleevi présente encore un autre Problème: Même si maintenant ce mauvais Certificats intermédiaires retrait aidera pas beaucoup. Car les Certificats concernés ne peuvent pas seulement de Réponses OCSP pour les autres Certificats falsifier, mais aussi pour lui-même. Sleevi a invité les personnes concernées, les autorités de Certification par conséquent, non seulement les Certificats de retirer, mais aussi la Clé privée associée à la détruire et à la Destruction de documenter.

Même si l’Incident pour une certaine Excitation devrait: La pratique de Risque limitée. C’est parce que OCSP Essais, pour la plupart, de toute façon, n’aura pas lieu. Le Journal a un certain Nombre de Problèmes, ce qui a conduit à ce que certains Navigateurs, comme le Leader de Chrome, il n’est pas d’implémenter et d’autres un seul Soft-Fail-Mode, dans le CERTIFICAT, certes, est examiné, lors d’un échec de la connexion, le Certificat néanmoins valable.

Le Fait que OCSP dans la Pratique, fonctionne à peine, est l’une des Raisons pour lesquelles le Navigateur d’insister sur le fait, la Durée de validité des Certificats de plus en plus forte de limiter. En Bref, tous les grands Navigateurs de nouveaux Certificats d’une Durée d’un peu plus d’un An accepter.

S’il Vous plaît activer Javascript.
Ou utiliser le Golem pur de l’Offre
et lire Golem.de

  • sans Publicité
  • avec le Javascript désactivé
  • avec les flux RSS-le texte intégral de Flux de