Как я могу различить эти две ситуации сертификата?

586

Ситуация 1 (безопасная):

  • Сайт был уязвим для сердцебиения и использует сертификат, недействительный до 2012-10-21
  • Сайт обновлен до уязвимой версии OpenSSL
  • Сайт переименован и получил переоформленный сертификат с той же недействительной датой 2012-10-21
  • Сегодня, когда я проверяю сайт, я обнаружил, что он не подвержен сердечному кровотечению, и использую сертификат с недействительной датой до 2012-10-21

Ситуация 2 (небезопасно):

  • Сайт был уязвим для сердцебиения и использует сертификат, недействительный до 2012-10-21
  • Сайт обновлен до уязвимой версии OpenSSL
  • Сегодня, когда я проверяю сайт, я обнаружил, что он не подвержен сердечному кровотечению, и использую сертификат с недействительной датой до 2012-10-21

Насколько я понимаю, эти две ситуации неразличимы для меня как конечного пользователя, который никогда ранее не посещал данный веб-сайт. Что мне не хватает?

К вашему сведению, ситуация 1, очевидно, относится к * .wikipedia.org. Они сказали, что именно так Digicert переиздает сертификаты.

4
Я не согласен - хотя это проблема безопасности, она также представляет интерес для пользователей Superuser и должна оставаться здесь. davidgo 10 лет назад 0
Мы можем оставить это здесь. Это по теме для нашей сферы тоже. Если вы не получите хороших ответов в течение, скажем, двух дней, мы все равно сможем перенести их. slhck 10 лет назад 0
Я не думаю, что на самом деле есть способ, не зная серийный номер (который можно сравнить с текущим или проверить в CRL [Список отозванных сертификатов]). UKB 10 лет назад 0
@UKB Спасибо! Если вы уверены в этом, не могли бы вы написать ответ? 10 лет назад 0
@Articuno Мы действительно создали сайт, чтобы отслеживать это как можно лучше. Мы взяли сертификаты на первые 1 миллион веб-сайтов и проверили, являются ли они по-прежнему уязвимыми, и есть ли в сертификате изменения с тех пор, как мы его кэшировали. http://Heartbleedstatus.com (хотя я не уверен, что это действительно ответ, поэтому дайте мне знать) Jacob 10 лет назад 0
@Jacob Это здорово. Как только я понял, что это то, что нужно, я хотел сделать это, но у меня не было ни времени, ни ресурсов. Хотя я не вижу, где отображается информация о сертификате. О, неважно .. Я вижу это сейчас. Возможно, пользователям станет понятнее, что они должны проверять эту другую страницу, а не просто полагаться на тест текущей уязвимости. 10 лет назад 0
@Articuno Вы не возражаете, если я отправлю это как ответ? Jacob 10 лет назад 0
@Articuno: Имейте в виду, что некоторые службы имели личные сведения о Heartbleed до публичного объявления, и эти службы отменили свои старые сертификаты и выпустили новые до даты публичного объявления. [Cloudflare недвусмысленно сказал, что они сделали это] (http://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities), и, учитывая, что Google Security в первую очередь помог обнаружить ошибку, я уверен, что Google сделал так же. Daniel Pryden 10 лет назад 0
@ Джейкоб Да, пожалуйста. Хотя я бы хотел, чтобы это не превратилось в список всех решений, подобных вашему, поэтому было бы неплохо также немного рассказать об этой неоднозначности в сертификатах x.509. 10 лет назад 0

2 ответа на вопрос

0
UKB

You can search for the Certificate Authority's CRL (i.e. http://www.verisign.com/repository/crl.html from VeriSign) and see if they have recently revoked an the old certificate but to do that you will generally need the old certificate's serial number. You could also, if you had the old serial number, just compare it to the new one.

The problem is that there isn't much you can really do to see if it is a different certificate than before without the old certificate serial number.

Может быть, проверить интернет-архив на сайте неделю назад, чтобы увидеть старый сертификат? Dan L 10 лет назад 0
@DanL Сохраняет ли интернет-архив сертификаты? 10 лет назад 0
@Articuno Хм, машина обратного хода нет, кеш Google нет. Хорошо, измените _maybe_ на ** не беспокойся **. Извините за это, должен был понять, что защищенные сайты не позволят вам иметь кэшированную версию страницы. Dan L 10 лет назад 0
0
Ladadadada

Zmap.io have a list of changes to certificates for the top 5,000 most popular sites. Note that the date listed there does not rely on the Not Valid Before date of the certificate itself and therefore should represent an accurate date for when the certificate was last changed. (I used Wikipedia.org to check this as they get their certificates from DigiCert who backdate the Not Valid Before date when re-keying certificates.)

They link to the raw data they used which presumably covers a lot more than just the top 5,000 sites but at the time I am writing this, the site is not responding.

Another project that collects certificate fingerprints is Convergence. I haven't explored yet to see if you can extract fingerprints and dates out of it but if you were using it before HeartBleed, it would probably warn you when a site's certificate changed (unless a majority of other people using it had already accepted the new certificate for that site). Ironically, no warning in this situation would be an indication that you were not safe and a warning would be an indication that you were safe.

Это хорошо. Какие-нибудь сайты делали это все время? Кажется, что если мы подождем, пока * после * уязвимостей не будет объявлено и на них дан ответ, мы можем потерять некоторые из старых сертификатов, если сайт очень быстро откликнется на проблему. 10 лет назад 0
Исходные данные теперь снова в сети, и, похоже, они растянулись на годы. Он охватывает все адресное пространство IPv4, поэтому он может включать любой сайт, который вас интересует. Ladadadada 10 лет назад 0
Потрясающие! Мне кажется, это дыра в спецификации x.509, если нам нужно полагаться на такой сервис для определения даты выпуска. 10 лет назад 0

Похожие вопросы