Возможна ли подделка SSL сертификата для сайта?

Question

[Gil-Galad]

В последнее время очень легко выпустить бесплатный ssl-сертификат. Достаточно всего лишь подтвердить владение доменом с помощью размещения файла со специальным кодом.

Теоретически вижу возможность перехвата трафика и эмуляцию сайта жертвы для подтверждения владения доменом. Подобные возможности есть, например, у хостинг/канальных/магистральных провайдеров. Далее выпуск дублирующего сертификата и заведение трафика на сайта через специальный сервер, который может дешифровывать весь трафик или же только выбранных посетителей сайта, а остальных просто проксировать.

Фактически получается, что дубликат сертификата рабочий и действующий. Корневой сертификат корректный и изначально установлен у всех, как доверенный, вроде Let's Encrypt.

1. Возможно ли подобное на практике?
2. Защищают ли от подобной атаки браузеры? Предупредят ли они о подобной подмене? А, если это не повторное, когда браузер закешировал сертификат сервера, а первое соединение?
3. Возможно ли проверить какой в итоге сертификат сервера получил клиент?
3.1. На стороне клиента? API JS не даёт доступа к сертификату насколько я понимаю. Есть возможность как-то еще оповестить сервер об атаке и чтобы отсутствовала возможность перехватить эту информацию.
3.2. На стороне сервера? Хотя тут мало что можно сделать по моему без обратной связи от клиента.

P.S. Есть конечно запись DNS CAA, которая запрещает выдавать сертификаты, но эта защита больше для корректно настроенных коммерческих сертификатов, а не массово распространённых бесплатных от Let's Encrypt.

Answer 1

[ky0]

Почитайте спецификацию на ACME, там подробно описано, какие меры предпринимаются против возможных атак.

Если у атакующего есть доступ к DNS-записям домена или к настройкам веб-сервера/файлам сайта - разумеется, он может выпустить свой валидный сертификат. Но это примерно такой же провал безопасности, как и, по аналогии, физический доступ к машине - в таком случае ничего не поделаешь.

Чтобы подстраховаться от нелегитимных сертификатов - можно добавить HPKP.

Comments

[Gil-Galad]

Но я как раз касаюсь вопроса не доступа к файлам сервера, а перехват трафика на маршруте. Ни для кого же не секрет, что у провайдеров уже стоит перехватывающее оборудование от сами знаете кого. Эмуляция сервера в этом случае для выпуска дубля сертификата элементарное действие.

[ky0]

Gil-Galad, и именно про это я сказал в первом абзаце :) Защита от "человека посередине" заложена в самом протоколе выпуска.

Утрируя - по HTTP (без шифрования) происходит только доступ к файлу-подтверждению со стороны LE, всё остальное зашифровано. А подменять этот файл каким-то своим бессмысленно, тогда "пасьянс не сойдётся" и сертификат не выпустится с ошибкой.

[Gil-Galad]

Не пойму, что мешает промежуточному серверу на который заведён трафик, создать новый аккаунт по протоколу ACME (он же бесплатный и не требует подтверждения), оформить с него заявку на выпуск дубликата сертификата, полностью перехватить трафик от серверов CA эмулируя весь процесс в том числе и шифрованный (приватный ключ же есть для нового аккаунта), получить дубликат ключей и далее пользоваться им по своему усмотрению. Не могу вот найти информацию, что CA при выпуске сертификата на тот же домен с другого аккаунта, блокирует все предыдущие через CRL.

[SagePtr]

Gil-Galad, не пользоваться российскими хостингами. Канал связи между сервером и LE в таком случае не будет проходить через Россию и не будет скомпрометирован. Также NS-сервера не должны располагаться в России, чтобы их ответ не был подменён и LE не полез на левые сервера за подтверждением.

[ky0]

SagePtr, совершенно верно. Но вообще, в свете последних событий, размещение ресурса в юрисдикции РФ примерно равно физическому доступу злоумышленника к железу :) А будешь шифровать - просто вынесут всё в ходе масок-шоу и применят ректальный криптоанализ.

[Gil-Galad]

SagePtr, вопрос же не в юрисдикции, а в том, что "безопасность" бесплатного ssl выдуманная сказка. Поисковики его навязывают, браузеры навязывают, серверы жрут дополнительные ресурсы для шифрации, а в итоге получается пшик.

ky0, вопрос стоял лишь в надёжности самой схемы бесплатных ssl сертификатов. Маски шоу и ректальные анализы при отсутствии незаконного или каких-то ценных данных должны мало беспокоить честного человека.

[Lynn «Кофеман»]

Так если мы исключили ФСБ и маски-шоу какой у вас остался вариант атаки на мой домен?

[ky0]

Gil-Galad,

вопрос стоял лишь в надёжности самой схемы бесплатных ssl сертификатов. Маски шоу и ректальные анализы при отсутствии незаконного или каких-то ценных данных должны мало беспокоить честного человека.

Вся надёжность любой PKI зиждется на доверии и репутации удостоверяющего центра. Любой из них может выпустить валидный сертификат, ничего не перехватывая. Но, как вы выражаетесь, "честного человека" это обычно не беспокоит. Так же и злонамеренные силовые структуры могут понаставить чёрных коробок вразрыв у магистральных провайдеров и начать устраивать mitm и прочие прелести.

Для противодействия подобным вещам, как я говорил, есть HPKP и Certificate Transparency - но полностью исключить их не получится.

[Gil-Galad]

Lynn «Кофеман», взлом маршрутизатора, например.

ky0, да, Certificate Transparency, идейно, а вот HPKP устарел как я понимаю. Спасибо за наводку.

[ky0]

Gil-Galad, ну почему же устарел? Наоборот, чем дальше - тем актуальнее становится. С помощью него можно довольно легко выстрелиться себе в ногу - это да. Но принципиально - лучше пока ничего нет, чем тупо заранее перечислить всем клиентам конкретные ключи, которые вы считаете легитимными.

[Александр Фалалеев]

ky0, HPKP конечно хорошо, но принципиально лучше вариант есть - DANE TLSA запись сгенерированная из используемого сертификата. Разумеется домен должен быть под DNSSEC.

Answer 2

[CityCat4]

Обсуждение атаки обычно начинают с ее целесообразности. Целесообразность атаки на периметр конторы скажем известна довольно хорошо - хищение/уничтожение данных, перехват управления.

Какова целесообразность подобной атаки для хостинга? Да никакой. Хостер и так имеет доступ ко всем файлам клиента и может совершенно спокойно подсунуть ему любой сертификат куда угодно.
Какова целесообразность подобной атаки для VPS-хостера/провайдера? Да никакой - он и так все пишет - накуа ему еще головняки?

Насчет того, что LE иже с ним - это разводилово.

Я в этом совершенно уверен :) Бесплатный сыр бывает только известно где - а тут тебе бесплатно, да с поддержкой инфраструктуры и прочими плюшками. Обычно говорят "LE играет на стороне корпораций и против государства (здесь под государством имеется в виду государство вообще, а не какое-то конкретное)". Я в это, простите, не верю. У Гугла и кто там еще содержит LE явно есть какой-то интерес держать его помимо этого.

Вот почему я никогда не генерю сертификаты онлайн :) Только свой CSR, только хардкор.

Насчет размещения сервера в юрисдикции РФ - можно подумать в других странах по-другому? Следует наверное сформулировать так "не держите сервер в юрисдикции той страны, законы которой собираетесь нарушать". Или Вы думаете, что если Вы живете в США, хоститесь в США и нарушаете законы США - к Вам не придут? Ну, блажен, кто верует... до тех пор, пока не начинает выплевывать собственные зубы.

Вся система PKI держится на одном утверждении - In root CA we trust :) Ну то есть мы безоговорочно доверяем сертификатам, выпущенным СA, сертификаты которых мы считаем корневыми. Отсюда и все возомжности MitM. Да, есть HPKP, но его использование может принести Вам немало головняков с невозможностью открыть сайт, который "еще вчера" открывался.

Answer 3

[Александр Фалалеев]

Да, есть HPKP, но его использование может принести Вам немало головняков с невозможностью открыть сайт, который "еще вчера" открывался.

Нет, ничего плохого не произойдёт ибо из всех актуальных браузеров поддержка HPKP давным-давно выпилена.