Мошеннические SSL сертификаты украденные сертификаты для создания ложного HTTPS и подмены человек посередине

Для получения цифрового SSL сертификата, вы отправляете Центру Сертификации запрос на подпись сертификата содержащий открытый ключ и информацию о вашей компании. CA проверяет информацию о компании и возвращает подписанный цифровой сертификат, содержащий достоверную информацию о компании и ваш публичный ключ.

Когда ЦС выполняет проверку домена, он пытается проверить, что запрос сертификата поступает от законного владельца домена. Существует несколько способов сделать это: форум CA / Browser Forum, который определяет базовые требования предъявляемые к SSL сертификатам, усилил и четко определил разрешенные методы проверки прав организации на домен. Но идея всегда одна и та же - CA должен убедиться, что вы действительно являетесь владельцем домена, на который вы хотите получить сертификат для защиты своего сайта. После того как CA убедится что вы управляете доменом, он выпустит SSL сертификат для вас.

Рагульские SSL сертификаты или мошеннические сертификаты изгои ( Rogue SSL certificate )

Сертификаты-изгои ( Сертификат мошенника ) - это скомпромитированные SSL сертификаты, выпущеные Центром Сертификации на законных основаниях и похищенные у владельца, или ошибочно выпущенные Центром Сертификации, или сертификаты выпущенные на основе преднамеренно лживой предоставленной ЦС информации.

Существует ряд причин, по которым Центр сертификации может быть источником рагульских сертификатов. Это может быть результатом компрометации корневого сертификата, результатом недобросовестных или непрофессиональных решений руководства или предоставления промежуточного кросс сертификата ненадежной компании. Обычно они скрываются под вывеской технологического или стратегического партнера. В свете сегодняшних событий привожу кросс сертификат CA Unizeto Technologies S.A., выданный приватной компании из соседней страны с известной репутацией ;)

Select
p.s. * для просмотра "внутренностей" сертификата нажмите Select и вставьте в форму сайта для проверки SSL сертификатов >>>
=======================================
Сервис https://proverkassl.com : результаты проверки SSL сертификата для  YANDEX.RU:443 
Yandex CA expiried 18 May 2019 23:26  
=======================================
Корректная цепочка от доверенного CA Yandex LLC 
=======================================
Domain Certificate YANDEX.RU 

Возможные варианты выпуска "левых" SSL сертификатов для CA:

Когда ЦС выдает сертификат, он подписывает этот сертификат одним из его закрытых ключей. Этот закрытый ключ был либо подписан доверенным корнем, либо был подписан промежуточным корнем, который в свою очередь был подписан доверенным корнем. В любом случае, когда браузер получает доверенный сертификат SSL, он возвращает цифровую подпись к сертификату, с которым он связан, до тех пор, пока он не достигнет одного из доверенных корней в хранилище доверия. Сертификат мошенника является доверенным сертификатом, связанным с сайтом, который владелец сертификата фактически не контролирует.

Рагульский SSL cертификат опасен тем, что он позволяют злоумышленникам создавать нелигитимные сайты, которые внешне неотличимы от реальных сайтов, и их сертификационная иерархия может быть проверена и удостоверена. Затем пользователи будут перенаправлены на опасные сайты с помощью фишинга или атаки «человек в середине», где уязвимый узел между пользователем и законным сайтом вместо этого отправляет трафик на незаконный сайт. До недавнего времени индикатор HTTPS от Google, который помещал значок «Безопасный» рядом с URL-адресом в адресной строке, только ухудшал и запутывал ситуацию .

Итак Сертификат-изгой - это действительный сертификат, который попал во владение третьей стороны - обычно злонамеренной.

Когда браузер проверяет сертификат он проверяет:

  1. Был ли сертификат подписан доверенным ЦС?
  2. Цела ли цепочка цифровой подписи к одному из корней в хранилище доверия?
  3. Сертификат действителен ?
    • Когда SSL сертификат был выпущен ?
    • Когда сертификат SSL истекает ?
    • Мы все еще находимся в таком временном интервале ?
  4. Был ли отозван SSL сертификат? Для этого требуется проверка OCSP или CRL.
  5. Имеется ли у сервера связанный закрытый ключ ?
  6. Соответствует ли пара ключей друг другу ?

Последний пункт - "из одной ли семьи ключи?" - очень важен, потому что браузер зашифрует часть данных открытым ключом сертификата и расшифровать ее можно только закрытытым ключом сервера. Это то, что мешает веб-сайтам просто копировать SSL-сертификат легитимного сайта и пытаться представить его открытый ключ как свой собственный. Открытый ключ этого сертификата не будет работать, потому что сервер с сертификатом не имеет соответствующего закрытого ключа.

Рагульский сертификат или сертификат-изгой - это действительный сертификат, который попал во владение третьей недобросовестной стороной. Мошеннический SSL сертификат подобен оддельному паспорту или поддельному свидетельству личности в шпионском фильме. Это позволяет злоумышленнику работать под ложным идентификатором.

Поэтому, когда вы попадаете на вредоносный веб-сайт с roque-сертификатом, ваш браузер послушно выполняет указанные выше проверки буковка в буковку как описано выше. Браузер гарантирует:

  1. что сертификат был подписан доверенным ЦС.
  2. что сертификат действителен. (сертификат не отозван и не закончился)

Браузер пользователя никогда не аутентифицирует сам сервер, он просто аутентифицирует сертификат. Это похоже на ситуацию, когда вы представляете водительские права полицейскому. Полицейский проверяет чтобы изображение на правах совпало с вашим лицом, что лицензия действительна, что она еще не истекла, и он может позвонить в отдел, чтобы убедиться, что права не были отозваны. Если все это ОК, он примет ваши права как законные. Полицейский не будет проверять вашу ДНК и группу крови, чтобы убедиться, что это вы на биологическом уровне, он проверяет только ваши документы :)

Используя открытый ключ, связанный с сертификатом, для шифрования некоторых данных, злоумышленник, который имеет связанный закрытый ключ, расшифровывает и возвращает инфу. Что касается вашей компьютерной системы, то она считает, что этот сайт - тот самый что вы думали. Мошеннические сертификаты представляют собой серьезную угрозу для предприятий и может нанести ощутимый ущерб вашей компании. Чтобы иметь возможность использовать рагульский сертификат, хакеру необходимо перехватить трафик и вставить свой собственный поддельный сертификат в атаку «Человек-в-середине »

Что делать?

Эти "Что делать" помогут вам найти и обезвредить мошеннические rogue ssl сертификаты.
Удачки!