केवल Microsoft द्वारा भरोसेमंद ब्राज़ीलियाई प्रमाणन प्राधिकरण ने google.com के लिए प्रमाणपत्र जारी किया
(follow.agwa.name)-
Andrew Ayeragwa14h
- ब्राज़ील का एक प्रमाणन प्राधिकरण Microsoft द्वारा विश्वसनीय माना जाता है और उसने google.com के लिए संभवतः अनधिकृत प्रमाणपत्र जारी किया है। इसके कारण Edge और अन्य Windows एप्लिकेशन (Chrome और Firefox को छोड़कर) में Google की ओर जाने वाले ट्रैफ़िक को बीच में रोककर इंटरसेप्ट किया जा सकता है। Microsoft इस प्रमाणन प्राधिकरण से जुड़ी समस्याओं के इतिहास से अच्छी तरह परिचित है, और उसने 2021 में अपनी चिंता व्यक्त की थी, जबकि 2022 की सार्वजनिक CCADB चर्चा के दौरान अतिरिक्त समस्याएँ भी उठाई गई थीं। आशा है कि यह घटना बदलाव की शुरुआत करेगी। Windows उपयोगकर्ता बेहतर सेवा के हकदार हैं.
-
Andrew Ayeragwa12h
- प्रमाणन प्राधिकरण की अयोग्यता के एक उदाहरण के रूप में, केवल इसलिए कि किसी प्रमाणपत्र के subject में Google की subsidiary serial number शामिल है, इसका मतलब यह नहीं कि वह Google द्वारा अनुमोदित है। प्रमाणन प्राधिकरण उस field में जो चाहे भर सकता है, और यह प्रमाणन प्राधिकरण प्रमाणपत्र में डाली जाने वाली सामग्री का स्पष्ट रूप से सत्यापन नहीं करता.
-
Andrew Ayeragwa10h
- एंटरप्राइज़ man-in-the-middle attack proxies बेहद हानिकारक होते हैं.
1 टिप्पणियां
Hacker News की राय
ICP-Brasil ने अक्टूबर में सार्वजनिक SSL/TLS certificate जारी करना आधिकारिक रूप से बंद कर दिया था: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
इसने न सिर्फ सार्वजनिक certificates जारी करने पर रोक को bypass किया, बल्कि Google के CAA rules भी तोड़े, इसलिए मामला काफी गंभीर है। उम्मीद है कि यह certificate authority Microsoft OS में स्थायी रूप से block कर दी जाए
certlm.mscदेखने पर लगता है कि hotfix पहले ही deploy हो चुका है, और trusted root certificate authorities में ICP Brasil दिखाई नहीं देताइससे भी बुरी बात यह है कि bug report में आया ICP-Brasil digital signatures से जुड़े व्यापक मामलों को संभालने वाली सरकार द्वारा संचालित संस्था है
यह contracts या certificates पर digital signature करने और tax returns तक access करने जैसे कामों में भी शामिल है
google.comcertificate revoke करने से शायद समाधान हो जाएयह काफी खराब दिखता है। मुझे लगा था कि Chrome और Firefox इस certificate authority पर trust हटा देंगे, लेकिन वे पहले से ही इस पर trust नहीं कर रहे थे
Microsoft के लिए तस्वीर और खराब दिखती है कि Microsoft/Windows उस certificate authority पर trust कर रहा था जिस पर दूसरे बड़े players trust नहीं करते
निकट भविष्य में इसके सुधरने की संभावना भी कम लगती है, और दिशा अब भी नीचे की ओर ही है
पहले यह default रूप से trusted नहीं था, इसलिए इसे certificate store में manually add करना पड़ता था, फिर भी Brazil सरकार आधिकारिक websites पर इसी certificate authority का इस्तेमाल करने पर अड़ी रही
Microsoft certificate authorities पर trust करने में काफी ढीला लगता है, inclusion decisions भी transparent नहीं हैं, और उसका trust store भी काफी बड़ा है
कोई भी समझदार website browsers, खासकर Chrome द्वारा trusted certificates ही इस्तेमाल करेगी, इसलिए ऐसी अतिरिक्त certificate authorities से मिलने वाला फायदा कम लगता है
मैं Windows user नहीं हूं, लेकिन जिज्ञासा है कि Windows/Edge में Chrome trust store इस्तेमाल करने का कोई तरीका है या नहीं। Microsoft की list पर trust करना मुश्किल लगेगा
मैं MSFT का बचाव नहीं करना चाहता, लेकिन governments को OS बेचने के अनुभव के हिसाब से कोई भी Microsoft के आसपास भी नहीं है। मेरी राय में MSFT certificate authorities जोड़ने को सावधानी से review करता होगा
क्या आपको DigiNotar के बारे में पता है, जो Dutch government-approved certificate authority था और बड़े पैमाने पर hack हुआ था? उस certificate authority का root certificate ज्यादातर browsers और OS trust stores में add होने के बाद hack हुआ था, और उस पर व्यापक रूप से trust किया जाता था। तो क्या कहा जा सकता है कि MSFT ने DigiNotar root certificate authority पर “ढीलेपन” से trust किया था? मुझे नहीं लगता कि Mozilla Firefox के बारे में भी ऐसा कहना सही होगा
ऐसी चीजें देखकर सोचता हूं कि certificates पर certificate owner के द्वारा भी signature क्यों नहीं होता
अभी certificate authority किसी भी public key और domain के लिए certificate जारी कर सकती है, और कोई malicious trusted certificate authority सारा traffic intercept कर सकती है
अगर certificate में certificate authority के signature के साथ उस public key के owner का signature भी शामिल हो, तो लगता है कि certificate authority के पास यह क्षमता नहीं रहेगी। मैं क्या miss कर रहा हूं?
certificate authority, या real world fraud के जरिए certificate authority को धोखा देने वाला attacker, दूसरे signature में इस्तेमाल होने वाली key pair का “owner” बन सकता है
certificate authority trust roots के लिए इस्तेमाल होने वाले मौजूदा PKI infrastructure को reuse कर लेने मात्र से यह handle नहीं होगा। public keys या certificates को DANE की तरह DNS के जरिए distribute किया जा सकता है, लेकिन यह आसान काम नहीं है और ecosystem के मौजूदा participants को व्यापक रूप से सहमत होना पड़ेगा
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
मौजूदा centralized PKI के ऊपर या उसके साथ decentralized, self-managed trust जोड़कर वर्तमान स्थिति सुधारने की बड़ी दिशा मुझे पसंद है। यह और व्यवस्थित resilient structure की ओर जाने का stepping stone हो सकता है
अगर certificate owner के पास certificate पर sign करने के लिए पहले से verified public key है, तो certificate authority की जरूरत ही नहीं रहती
सोचता हूं कि Brazil ने Microsoft से अपनी national certificate authority पर trust कैसे करवा लिया। उदाहरण के लिए Kazakhstan[1] ऐसा नहीं कर पाया था
सरल समाधान यह है कि स्वतंत्र संस्थाएं प्रमाणन प्राधिकरणों के बारे में trust assertions दें, और उपयोगकर्ता कई संस्थाओं के आकलन को साथ में देखकर तय करें कि भरोसा करना है या नहीं
जब हमला करने का रास्ता इतना साफ़ है, तो हैरानी होती है कि अभी तक ऐसी संरचना मौजूद नहीं है
कोई भी वैकल्पिक PKI तरीका बना लें, Microsoft किनसे सौदे करता है, इस समस्या से बचा नहीं जा सकता
समस्या keyboard और chair के बीच है। उपयोगकर्ताओं के लिए SSL समझना भी पहले से मुश्किल है। Browsers ने EV, DV, OV के फर्क को बहुत जटिल मानकर छिपा दिया है
अगर दादी बैंक साइट खोलें और certificate Google, Apple, Microsoft के लिए trusted हो लेकिन Mozilla के लिए trusted न हो, और browser plugin हरे-पीले रंग का trust indicator दिखाए, तो वे इसे कैसे समझेंगी?
अफ़सोस, trust binary होता है। दादी बैंक bookmark क्लिक करेंगी तो या तो बैंक website देखेंगी, या डरावनी warning
मूल लेख भर से यह साफ़ नहीं है कि यह गलती थी या जानबूझकर किया गया था
क्योंकि पकड़े जाना तय था, और जिस capability को काफ़ी लागत लगाकर तैयार किया गया होगा, उसी को खतरे में डालने वाला विवाद पैदा होना भी तय था
google.comcertificate गलती से कैसे issue कर सकती हैक्या कोई non-malicious scenario है भी?
अनुमान है, लेकिन यह सरकार और बड़ी कंपनी के बीच जानबूझकर मिलीभगत या दबाव जैसा लगता है
उदाहरण के लिए, ब्राज़ील सरकार देश में कारोबार करने के अधिकार के बदले Microsoft से Windows devices पर man-in-the-middle attack access देने की मांग करे
सरकारें आम तौर पर खराब योजनाएं गुप्त रूप से चलाती हैं। ऐसा मामला बिना पकड़े निकल जाना बहुत मुश्किल है, इसलिए यह व्यावहारिक तरीका नहीं है। अभी आप यह पोस्ट HN पर पढ़ रहे हैं, यही इसका उदाहरण है
अच्छा होगा अगर किसी के पास देशों या देशों से जुड़े certification authorities की सूची हो। मैं सबको हटाना चाहूंगा
यह तय करना मुश्किल है कि कौन-सा certification authority सरकार द्वारा चलाया जाता है या सरकार के नियंत्रण में है। सिर्फ नाम से हमेशा साफ़ नहीं होता, निजी कंपनियां भी सरकारी निर्देशों के तहत चल सकती हैं, और कानूनी तौर पर certification authorities को सरकारी अनुरोध मानने पड़ सकते हैं
यहां शामिल सभी वे जगहें थीं जहां यह बहुत स्पष्ट था कि certification authority चलाने वाला संगठन सरकार या सेना है, और इस बार उल्लेखित ब्राज़ीलियाई certification authority सूची में दूसरा है
[1] https://alexsci.com/blog/ca-trust/#government-control-of-cas