Wie unterscheide ich diese beiden Zertifikatsituationen?

698

Situation 1 (sicher):

  • Die Website war anfällig für Herzblutungen und die Verwendung eines Zertifikats, das nicht vor dem 2012-10-21 gültig war
  • Website auf eine unverwundbare Version von OpenSSL aktualisiert
  • Die Website wurde erneut verschlüsselt und ein Zertifikat wurde erneut ausgestellt, wobei dasselbe Datum nicht gültig war (Datum 2012-10-21)
  • Wenn ich heute die Website inspiziere, finde ich, dass sie nicht anfällig für Herzblut ist und ein Zertifikat mit einem nicht gültigen Datum vom 2012-10-21 verwendet

Situation 2 (unsicher):

  • Die Website war anfällig für Herzblutungen und die Verwendung eines Zertifikats, das nicht vor dem 2012-10-21 gültig war
  • Website auf eine unverwundbare Version von OpenSSL aktualisiert
  • Wenn ich heute die Website inspiziere, finde ich, dass sie nicht anfällig für Herzblut ist und ein Zertifikat mit einem nicht gültigen Datum vom 2012-10-21 verwendet

Soweit ich die Dinge verstehe, sind diese beiden Situationen für mich als Endbenutzer, der die betreffende Website noch nie besucht hat, nicht unterscheidbar. Was vermisse ich?


Zu Ihrer Information, Situation 1 ist offenbar der Fall für * .wikipedia.org. Sie sagten, dass Digicert Zertifikate neu ausstellt.

4
Ich stimme dem nicht zu - obwohl dies ein Sicherheitsproblem ist, ist es auch die Art von Problem, das für Benutzer von Superbenutzern von Interesse ist, und sollte hier bleiben. davidgo vor 10 Jahren 0
Wir können das hier behalten. Es ist auch ein Thema für unseren Umfang. Wenn Sie innerhalb von zwei Tagen keine guten Antworten erhalten, können wir sie trotzdem umstellen. slhck vor 10 Jahren 0
Ich glaube nicht, dass es tatsächlich einen Weg gibt, ohne die Seriennummer zu kennen (die Sie entweder mit der aktuellen vergleichen können oder in der CRL nachlesen können). UKB vor 10 Jahren 0
@UKB Danke! Wenn Sie sich dessen sicher sind, können Sie eine Antwort schreiben? vor 10 Jahren 0
@Articuno Wir haben eine Website erstellt, um dies so gut wie möglich zu verfolgen. Wir haben die Zertifikate auf die Top-1-Millionen-Websites gepackt und prüfen, ob sie noch anfällig sind und ob sich das Zertifikat seit dem Zwischenspeichern geändert hat. http://Heartbleedstatus.com (Ich bin mir nicht sicher, ob es tatsächlich eine Antwort ist, also lass es mich wissen) Jacob vor 10 Jahren 0
@Jacob Das ist großartig. Sobald mir klar wurde, dass es das ist, was es brauchen würde, wollte ich das tun, hatte aber nicht die Zeit oder Ressourcen. Ich sehe zwar nicht, wo die Zertifikatsinformationen angezeigt werden. Oh, vergiss nicht ... ich sehe es jetzt. Machen Sie den Benutzern möglicherweise klarer, dass sie die andere Seite überprüfen und sich nicht nur auf den Test der aktuellen Sicherheitsanfälligkeit verlassen müssen. vor 10 Jahren 0
@Articuno Würde es Ihnen etwas ausmachen, wenn ich es als Antwort posten würde? Jacob vor 10 Jahren 0
@Articuno: Denken Sie auch daran, dass einige Dienste vor der öffentlichen Ankündigung über private Kenntnisse von Heartbleed verfügten. Diese Dienste werden ihre alten Zertifikate vor dem Datum der öffentlichen Ankündigung widerrufen und neue ausgestellt haben. [Cloudflare hat ausdrücklich gesagt, dass sie dies getan haben] (http://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities). Angesichts der Tatsache, dass Google Security dazu beigetragen hat, den Fehler überhaupt zu entdecken, bin ich zuversichtlich Google hat es auch geschafft. Daniel Pryden vor 10 Jahren 0
@Jacob Ja, bitte. Obwohl ich möchte, dass dies nicht zu einer Liste aller Lösungen wie Ihrer wird, wäre es gut, auch etwas über diese Mehrdeutigkeit in den x.509-Zertifikaten zu erklären. vor 10 Jahren 0

2 Antworten auf die Frage

0
UKB

Sie können nach der CRL der Zertifizierungsstelle (z. B. http://www.verisign.com/repository/crl.html von VeriSign) suchen und nachsehen, ob sie das alte Zertifikat vor kurzem widerrufen hat. In diesem Fall benötigen Sie im Allgemeinen das alte Zertifikat Ordnungsnummer. Wenn Sie die alte Seriennummer hätten, könnten Sie sie auch mit der neuen Seriennummer vergleichen.

Das Problem ist, dass Sie nicht viel tun können, um festzustellen, ob es sich um ein anderes Zertifikat handelt, als zuvor ohne die alte Seriennummer des Zertifikats.

Sehen Sie sich das Internet-Archiv der Website vor einer Woche an, um das alte Zertifikat zu sehen? Dan L vor 10 Jahren 0
@DanL Speichert das Internetarchiv Zertifikate? vor 10 Jahren 0
@Articuno Hmmm, Wayback-Maschine nicht, Google Cache nicht. Ok, ändere das _maybe_ in ein **, stört dich nicht **. Tut mir leid, hätte feststellen müssen, dass die gesicherten Seiten keine zwischengespeicherte Version der Seite zulassen. Dan L vor 10 Jahren 0
0
Ladadadada

Zmap.io hat eine Liste der Änderungen an Zertifikaten für die Top 5.000 beliebtesten Websites. Beachten Sie, dass das dort angegebene Datum nicht auf das Datum Nicht gültig vor des Zertifikats selbst angewiesen ist und daher ein genaues Datum darstellen sollte, an dem das Zertifikat zuletzt geändert wurde. (Ich habe Wikipedia.org verwendet, um dies zu überprüfen, da sie ihre Zertifikate von DigiCert erhalten, die bei der erneuten Eingabe der Zertifikate das Datum "Nicht gültig vor" zurücksetzen.)

Sie sind mit den verwendeten Rohdaten verknüpft, die vermutlich weit mehr als nur die Top-5.000-Sites abdecken, aber zu der Zeit, als ich dies schreibe, reagiert die Site nicht.

Ein weiteres Projekt, in dem Fingerabdrücke für Zertifikate gesammelt werden, ist Convergence . Ich habe noch nicht untersucht, ob Sie Fingerabdrücke und Datumsangaben extrahieren können, aber wenn Sie es vor HeartBleed verwendet haben, werden Sie wahrscheinlich gewarnt, wenn das Zertifikat einer Site geändert wurde (es sei denn, eine Mehrheit der Benutzer, die es verwenden, hatten bereits die neues Zertifikat für diese Site). Ironischerweise wäre keine Warnung in dieser Situation ein Hinweis darauf, dass Sie nicht sicher waren, und eine Warnung wäre ein Hinweis darauf, dass Sie sicher waren.

Das ist gut. Haben alle Sites das schon immer gemacht? Es scheint, als würden wir, wenn wir warten, bis * nachdem * Schwachstellen gemeldet wurden und auf diese reagiert haben, einige der alten Zertifikate verlieren, wenn die Site sehr schnell auf das Problem reagiert. vor 10 Jahren 0
Die Quelldaten sind jetzt wieder online und es sieht so aus, als würden sie sich über Jahre hinweg erstrecken. Es deckt den gesamten IPv4-Adressraum ab, sodass wahrscheinlich alle Websites einbezogen werden, die Sie interessieren. Ladadadada vor 10 Jahren 0
Genial! Es scheint mir, dass dies eine Lücke in der x.509-Spezifikation ist, wenn wir uns bei der Ermittlung des Ausgabedatum auf einen solchen Service verlassen müssen. vor 10 Jahren 0