1 पॉइंट द्वारा GN⁺ 2024-12-01 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Andrew Ayeragwa14h
    • ब्राज़ील का एक प्रमाणन प्राधिकरण Microsoft द्वारा विश्वसनीय माना जाता है और उसने google.com के लिए संभवतः अनधिकृत प्रमाणपत्र जारी किया है। इसके कारण Edge और अन्य Windows एप्लिकेशन (Chrome और Firefox को छोड़कर) में Google की ओर जाने वाले ट्रैफ़िक को बीच में रोककर इंटरसेप्ट किया जा सकता है। Microsoft इस प्रमाणन प्राधिकरण से जुड़ी समस्याओं के इतिहास से अच्छी तरह परिचित है, और उसने 2021 में अपनी चिंता व्यक्त की थी, जबकि 2022 की सार्वजनिक CCADB चर्चा के दौरान अतिरिक्त समस्याएँ भी उठाई गई थीं। आशा है कि यह घटना बदलाव की शुरुआत करेगी। Windows उपयोगकर्ता बेहतर सेवा के हकदार हैं.
  • Andrew Ayeragwa12h
    • प्रमाणन प्राधिकरण की अयोग्यता के एक उदाहरण के रूप में, केवल इसलिए कि किसी प्रमाणपत्र के subject में Google की subsidiary serial number शामिल है, इसका मतलब यह नहीं कि वह Google द्वारा अनुमोदित है। प्रमाणन प्राधिकरण उस field में जो चाहे भर सकता है, और यह प्रमाणन प्राधिकरण प्रमाणपत्र में डाली जाने वाली सामग्री का स्पष्ट रूप से सत्यापन नहीं करता.
  • Andrew Ayeragwa10h
    • एंटरप्राइज़ man-in-the-middle attack proxies बेहद हानिकारक होते हैं.

1 टिप्पणियां

 
GN⁺ 2024-12-01
Hacker News की राय
  • ICP-Brasil ने अक्टूबर में सार्वजनिक SSL/TLS certificate जारी करना आधिकारिक रूप से बंद कर दिया था: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
    इसने न सिर्फ सार्वजनिक certificates जारी करने पर रोक को bypass किया, बल्कि Google के CAA rules भी तोड़े, इसलिए मामला काफी गंभीर है। उम्मीद है कि यह certificate authority Microsoft OS में स्थायी रूप से block कर दी जाए

    • certlm.msc देखने पर लगता है कि hotfix पहले ही deploy हो चुका है, और trusted root certificate authorities में ICP Brasil दिखाई नहीं देता
  • इससे भी बुरी बात यह है कि bug report में आया ICP-Brasil digital signatures से जुड़े व्यापक मामलों को संभालने वाली सरकार द्वारा संचालित संस्था है
    यह contracts या certificates पर digital signature करने और tax returns तक access करने जैसे कामों में भी शामिल है

    • Web browsers के उलट, digital signature use cases में revocation check करना पड़ता है, इसलिए google.com certificate revoke करने से शायद समाधान हो जाए
  • यह काफी खराब दिखता है। मुझे लगा था कि Chrome और Firefox इस certificate authority पर trust हटा देंगे, लेकिन वे पहले से ही इस पर trust नहीं कर रहे थे
    Microsoft के लिए तस्वीर और खराब दिखती है कि Microsoft/Windows उस certificate authority पर trust कर रहा था जिस पर दूसरे बड़े players trust नहीं करते

    • Microsoft की security reputation बहुत खराब है, और ऐसी चीजें करते रहने की वजह से ही उसे यह reputation मिली है
      निकट भविष्य में इसके सुधरने की संभावना भी कम लगती है, और दिशा अब भी नीचे की ओर ही है
    • समझ नहीं आता कि ऐसी web certificate authority का क्या मतलब है जिस पर सभी प्रमुख players trust नहीं करते
    • यह भी अच्छा नहीं दिखता कि इसे अमेरिका की एक बड़ी public holiday पर जारी किया गया। उस समय बहुत से लोग छुट्टी पर थे
    • यह सिर्फ खराब दिखने वाली बात नहीं, बल्कि सीधे-सीधे खराब बात है
    • मजेदार बात यह है कि यह इस certificate authority से जुड़ा बस सबसे नया issue है
      पहले यह default रूप से trusted नहीं था, इसलिए इसे certificate store में manually add करना पड़ता था, फिर भी Brazil सरकार आधिकारिक websites पर इसी certificate authority का इस्तेमाल करने पर अड़ी रही
  • Microsoft certificate authorities पर trust करने में काफी ढीला लगता है, inclusion decisions भी transparent नहीं हैं, और उसका trust store भी काफी बड़ा है
    कोई भी समझदार website browsers, खासकर Chrome द्वारा trusted certificates ही इस्तेमाल करेगी, इसलिए ऐसी अतिरिक्त certificate authorities से मिलने वाला फायदा कम लगता है
    मैं Windows user नहीं हूं, लेकिन जिज्ञासा है कि Windows/Edge में Chrome trust store इस्तेमाल करने का कोई तरीका है या नहीं। Microsoft की list पर trust करना मुश्किल लगेगा

    • transparent न होने की वजह यह है कि यह sales बढ़ाने के आधार पर चलता है
    • “Microsoft certificate authorities पर trust करने में ढीला लगता है” कहना काफी bold statement है। यह typical HN-style exaggeration जैसा लगता है
      मैं MSFT का बचाव नहीं करना चाहता, लेकिन governments को OS बेचने के अनुभव के हिसाब से कोई भी Microsoft के आसपास भी नहीं है। मेरी राय में MSFT certificate authorities जोड़ने को सावधानी से review करता होगा
      क्या आपको DigiNotar के बारे में पता है, जो Dutch government-approved certificate authority था और बड़े पैमाने पर hack हुआ था? उस certificate authority का root certificate ज्यादातर browsers और OS trust stores में add होने के बाद hack हुआ था, और उस पर व्यापक रूप से trust किया जाता था। तो क्या कहा जा सकता है कि MSFT ने DigiNotar root certificate authority पर “ढीलेपन” से trust किया था? मुझे नहीं लगता कि Mozilla Firefox के बारे में भी ऐसा कहना सही होगा
  • ऐसी चीजें देखकर सोचता हूं कि certificates पर certificate owner के द्वारा भी signature क्यों नहीं होता
    अभी certificate authority किसी भी public key और domain के लिए certificate जारी कर सकती है, और कोई malicious trusted certificate authority सारा traffic intercept कर सकती है
    अगर certificate में certificate authority के signature के साथ उस public key के owner का signature भी शामिल हो, तो लगता है कि certificate authority के पास यह क्षमता नहीं रहेगी। मैं क्या miss कर रहा हूं?

    • उस example में सभी certificates की trust chain malicious root certificate authority certificate पर trust करने से बनती है
      certificate authority, या real world fraud के जरिए certificate authority को धोखा देने वाला attacker, दूसरे signature में इस्तेमाल होने वाली key pair का “owner” बन सकता है
    • जो चीज missing है, वह key distribution और revocation के लिए infrastructure और processes हैं
      certificate authority trust roots के लिए इस्तेमाल होने वाले मौजूदा PKI infrastructure को reuse कर लेने मात्र से यह handle नहीं होगा। public keys या certificates को DANE की तरह DNS के जरिए distribute किया जा सकता है, लेकिन यह आसान काम नहीं है और ecosystem के मौजूदा participants को व्यापक रूप से सहमत होना पड़ेगा
      https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
      मौजूदा centralized PKI के ऊपर या उसके साथ decentralized, self-managed trust जोड़कर वर्तमान स्थिति सुधारने की बड़ी दिशा मुझे पसंद है। यह और व्यवस्थित resilient structure की ओर जाने का stepping stone हो सकता है
    • certificate authority का मूल उद्देश्य ही public key verification है
      अगर certificate owner के पास certificate पर sign करने के लिए पहले से verified public key है, तो certificate authority की जरूरत ही नहीं रहती
  • सोचता हूं कि Brazil ने Microsoft से अपनी national certificate authority पर trust कैसे करवा लिया। उदाहरण के लिए Kazakhstan[1] ऐसा नहीं कर पाया था

    1. https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_a...
    • क्योंकि Brazil सरकार bulk में Windows licenses खरीदती है
  • सरल समाधान यह है कि स्वतंत्र संस्थाएं प्रमाणन प्राधिकरणों के बारे में trust assertions दें, और उपयोगकर्ता कई संस्थाओं के आकलन को साथ में देखकर तय करें कि भरोसा करना है या नहीं
    जब हमला करने का रास्ता इतना साफ़ है, तो हैरानी होती है कि अभी तक ऐसी संरचना मौजूद नहीं है

    • यह WebPKI की समस्या से ज़्यादा client software bug के करीब है
      कोई भी वैकल्पिक PKI तरीका बना लें, Microsoft किनसे सौदे करता है, इस समस्या से बचा नहीं जा सकता
    • पेज render करते समय कई trust stores जांचने वाला browser plugin बनाना काफ़ी आसान लगता है। शायद पहले से मौजूद भी हो
      समस्या keyboard और chair के बीच है। उपयोगकर्ताओं के लिए SSL समझना भी पहले से मुश्किल है। Browsers ने EV, DV, OV के फर्क को बहुत जटिल मानकर छिपा दिया है
      अगर दादी बैंक साइट खोलें और certificate Google, Apple, Microsoft के लिए trusted हो लेकिन Mozilla के लिए trusted न हो, और browser plugin हरे-पीले रंग का trust indicator दिखाए, तो वे इसे कैसे समझेंगी?
      अफ़सोस, trust binary होता है। दादी बैंक bookmark क्लिक करेंगी तो या तो बैंक website देखेंगी, या डरावनी warning
  • मूल लेख भर से यह साफ़ नहीं है कि यह गलती थी या जानबूझकर किया गया था

    • certificate CT में register हुआ था, इसलिए तर्कसंगत रूप से इसे गलती मानना सही लगता है
      क्योंकि पकड़े जाना तय था, और जिस capability को काफ़ी लागत लगाकर तैयार किया गया होगा, उसी को खतरे में डालने वाला विवाद पैदा होना भी तय था
    • समझ नहीं आता कि कोई certification authority google.com certificate गलती से कैसे issue कर सकती है
      क्या कोई non-malicious scenario है भी?
    • जवाब है: लापरवाही
    • क्या यह मायने रखता है?
  • अनुमान है, लेकिन यह सरकार और बड़ी कंपनी के बीच जानबूझकर मिलीभगत या दबाव जैसा लगता है
    उदाहरण के लिए, ब्राज़ील सरकार देश में कारोबार करने के अधिकार के बदले Microsoft से Windows devices पर man-in-the-middle attack access देने की मांग करे

    • इसकी संभावना बहुत कम लगती है
      सरकारें आम तौर पर खराब योजनाएं गुप्त रूप से चलाती हैं। ऐसा मामला बिना पकड़े निकल जाना बहुत मुश्किल है, इसलिए यह व्यावहारिक तरीका नहीं है। अभी आप यह पोस्ट HN पर पढ़ रहे हैं, यही इसका उदाहरण है
  • अच्छा होगा अगर किसी के पास देशों या देशों से जुड़े certification authorities की सूची हो। मैं सबको हटाना चाहूंगा

    • पिछले साल मैंने एक partial list बनाई थी [1]
      यह तय करना मुश्किल है कि कौन-सा certification authority सरकार द्वारा चलाया जाता है या सरकार के नियंत्रण में है। सिर्फ नाम से हमेशा साफ़ नहीं होता, निजी कंपनियां भी सरकारी निर्देशों के तहत चल सकती हैं, और कानूनी तौर पर certification authorities को सरकारी अनुरोध मानने पड़ सकते हैं
      यहां शामिल सभी वे जगहें थीं जहां यह बहुत स्पष्ट था कि certification authority चलाने वाला संगठन सरकार या सेना है, और इस बार उल्लेखित ब्राज़ीलियाई certification authority सूची में दूसरा है
      [1] https://alexsci.com/blog/ca-trust/#government-control-of-cas