W skład otwartej biblioteki NSS (Network Security Services), która implementuje między innymi protokoły SSL oraz TLS, wchodzi certyfikat nadrzędny (ang. root certificate) RSA Security 1024 V3. Nie byłoby w tym nic dziwnego, gdyby nie fakt, że organizacja RSA Security zaprzeczyła temu, jakoby ten certyfikat rzeczywiście posiadała. Z Network Security Services korzysta między innymi Mozilla Firefox, w efekcie czego, każdy z użytkowników tego programu ma w swym systemie wspomniany certyfikat niewiadomego pochodzenia.
Informacje o podejrzanym certyfikacie upubliczniła niedawno Kathleen Wilson. Odpowiedni raport pojawił się już również w ramach serwisu Bugzilla. W całej sprawie chodzi o certyfikat RSA Security 1024 V3:
- OU = RSA Security 1024 V3
- O = RSA Security Inc
- Valid From: 2/22/01
- Valid To: 2/22/26
- SHA1 Fingerprint: 3C:BB:5D:E0:FC:D6:39:7C:05:88:E5:66:97:BD:46:2A:BD:F9:5C:76
Problem polega zaś na tym, że niemożliwe jest ustalenie jego obecnego, prawowitego właściciela. O tym, że certyfikat ten rzeczywiście wchodzi w skład Mozilla CA Certificate Store możemy się przekonać analizując dokument List of all included root certificates.
Cała sprawa jest bardzo tajemnicza i budzi wiele emocji. Przede wszystkim jak to możliwe, że certyfikat ten jest przez Mozillę dystrybuowany? Po drugie, czy certyfikat ten nie był przypadkiem przez kogoś wykorzystywany do fałszywego poświadczania tożsamości serwerów internetowych? Wszystkie klucze publiczne podpisane wspomnianym certyfikatem typu root certificate były bowiem przez cały czas traktowane przez przeglądarkę Firefox jako zaufane…
Przypomnijmy, że Mozilla Firefox (podobnie do innych popularnych przeglądarek) ostrzega nas w przypadku odwiedzenia niezaufanej witryny za pomocą odpowiedniego komunikatu:
Natomiast, jeśli klucz publiczny serwera został podpisany jednym ze znanych Firefoksowi certyfikatów nadrzędnych, połączenie zostanie prawidłowo nawiązane.
[Aktualizacja]
Organizacja RSA Security, wbrew wcześniejszym oświadczeniom, potwierdziła fakt utworzenia oraz posiadania certyfikatu RSA Security 1024 V3. Mimo, że stanowisko to rozwiało wątpliwości związane z rzekomo osieroconym certyfikatem, to jednak cała sytuacja skłania do refleksji nad wiarygodnością zabezpieczeń opartych o system certyfikatów nadrzędnych.
Materiał pochodzi z serwisu HARD CORE SECURITY LAB.
Dodaj komentarz