Зачем нужны корневые сертификаты?

Question

[Вова]

Немного запутался в причинно-следственных связях.
Разбираюсь с SSL сертификатами. Вроде понял, что специальный центр выпускает сертификаты, при этом он, по сути, подписывает СВОИМ сертификатом свежесоздаваемые.
После этого сертификат (свежесозданный) устанавливается на сайт и позволяет гарантировать, что сайт "настоящий".
Кажется, что вся эта конструкция держится на том, что тот единственный корневой (?) сертификат, которым подписаны все остальные, есть только у удостоверяющего центра.

Теперь вопрос: почему все так боятся, что кто-то установит в их систему левый корневой сертификат? И сразу второй вопрос: почему какой-нибудь Fiddler, который устанавливает в систему свой корневой сертификат вообще работает?
Ведь при заходе на какой-нибудь сайт у него будет свой собственный серт, подписанный вполне себе конкретным корневым сертификатом. А не тем левым, который кто-то подложил в систему.
Почему же "левые" корневые сертификаты вообще работают, если никто и ничего ими ещё не подписал?

Answer 1

[Drno]

На примере наших госсайтов
Есть сайт на котором должно работать шифрование ssl. Но наши не хотят делать нормально, потому что крогом враги, и делают СВОЙ ssl серт, подписывая его СВОИМ центром сертиф.

В итоге при переходе на сайт - браузер будет ругаться, т.к. ssl он видит, но проверить кем выпущен не может, т.к. не публичный центр сертиф его выпустил
Для того чтобы этого не происходило - в систему требуют поставить корневой серт от нашего центра сертификации. После этого браузер перестанет ругаться, т.к. теперь он может отследить этот сертификат сайта(и проверить) до центра сертификации

Почему нельзя устанавливать левые сертификаты от центров(в том числе российские и вообще любые, мое мнение)
Потому что переходя на сайт того же гугл, сертификат сайта проверяется центром от гугла, и если этот сайт подменит провайдер - Вы об этом узнаете в браузере

Но, если Вы установили левый серти от центра, и он выпустит серт для сайта гугл, а провайдер подменит эту страницу на свою - браузер не будет ругаться, т.к. у него совпадет ssl сертификат сайта с тем, что указано в корневом(от центра серт)...

По такому же принципу делают прокси-серверы во многих компания, ставя свой серт на ПК юзверей. Это позволяет им расшифровать весь трафф, который идет в шифрованном виде. И как следствия - получить и записать информацию - че там на сайте делал пользователь( от чего по идее и защищает ssl , от подмены сайта и перехвата вводимой на нём информации)

Comments

[Вова]

Ага! Значит надо не только корневой сертификат установить, но ещё и обычный подменить. Да, так понятней.
Спасибо!

ЗЫ: Ну, не то чтобы "наши не хотят сделать нормально". Насколько я понял центры а-ля GlobalSign взяли и отозвали часть сертификатов под соусом санкций.

[Drno]

Вова, ну наши госструктуры задолго до этого свои серт делали. так что это не связано

[Василий Банников]

Вова, только глобалсигн так м сделал. За что его справедливо осудили.
Ну и гостовские сертификаты и до этого были, как выше и ответили

[Вова]

Василий Банников, А что не так с ГОСТовыми сертификатами?

[Василий Банников]

Вова, в том что это потенциальный mitm от ФСБ, тк корневой сертификат у госкомпании

[Вова]

Василий Банников, не очень понял, как связаны между собой ГОСТ и MITM. Вроде бы для осуществления MITM достаточно поставить в систему любой подходящий корневой сертификат, не обязательно ГОСТ. Главное поставить.

[Василий Банников]

Вова, смысл в том, что ГОСТ ты можешь поставить сам в добровольном (принудительном) порядке, чтобы, к примеру, пользоваться госуслугами или nalog.ru.
И это может происходить централизованно по всей стране.

Это не то же самое, что если злоумышленник как-то обойдёт защиту и как-то установит сертификат.

[Вова]

Василий Банников, Так. Вот я добровольно поставил корневой ГОСТовый серт, чтобы ходить на какой-нибудь сайт банка. Но какое к этому имеет отношение MITM и ФСБ?

[Василий Банников]

Вова, отношение имеет такое, что ФСБ имеет прямой доступ к корневым гостовским сертификатам, так как их выпускает, в основном, ФНС/Ростелеком/Минцифры.
А значит они легко могут устроить тебе mitm и расшифровать все данные.
Причём на абсолютно любом сайте, а не только на сайте условного банка.

[Вова]

"ФСБ имеет прямой доступ к корневым гостовским сертификатам..... А значит они легко могут устроить тебе mitm и расшифровать все данные. Причём на абсолютно любом сайте..."

Прости, всё ещё не понимаю. Формально, доступ к любому корневому сертификату имеет вообще кто угодно. Просто потому, что браузер, заходя на сайт по https, получает сертификат сайта, вместе с корневым (ну или корневой уже стоит в системе). Это просто набор чисел, который пересылается по сети.
Кажется, не хватает каких-то условий.
Или имелось в виду, что у майора есть доступ не только к сертификату, но и к приватному ключу, который к этому сертификату прилагается (что, кажется, позволяет как расшифровать траффик, так и сгенерировать новый серт для нужного сайта)?

[Drno]

Вова, да, речь про приватный ключ

[galaxy]

Вова,

Или имелось в виду, что у майора есть доступ не только к сертификату, но и к приватному ключу, который к этому сертификату прилагается (что, кажется, позволяет как расшифровать траффик, так и сгенерировать новый серт для нужного сайта)?

PKI (система публичных сертификатов) - структура иерархическая. Корневым сертификатом подписываются сертификаты крупных УЦ, дальше они ими могут подписать свои сертификаты второго уровня или сертификаты промежуточных УЦ. Цепочка может, в теории, быть очень длинной, и браузер обязан проверить подписи по иерархии вплоть до корневого.

Проблема с установкой левого корневого сертификата (к сожалению, к левым нужно отнести и серты от госструктур некоторых государств) в том, что браузер будет доверять всему, что происходит от него по иерархии. Т.е. помимо абсолютно легитимной подписи сертификатов для государственных сайтов или банков, таким сертом можно подписать сертикат карманного УЦ товарища майора. А дальше он может с ним делать, что хочет, например, он каждому провайдеру выдаст УЦ и обяжет провайдера при обращении клиента к сайтам по SSL генерить на лету поддельный сертификат для таких сайтов (приватный ключ при это будет провайдерский, трафик провайдер, конечно, сможет расшифровать и передать, куда следует).

Василий Банников,

смысл в том, что ГОСТ ты можешь поставить сам в добровольном (принудительном) порядке, чтобы, к примеру, пользоваться госуслугами или nalog.ru.

кстати, практически нигде в РФ этого реально не видел. Для физлиц все госсайты и банки имеют обычные ssl сертификаты (может понадобиться свой личный сертификат ЭП, но он никак не связан с установкой корневого в систему).
Единственное, где я встречал такое - на сайте Минпромторга для оформления лицензий (non-tariff.gov.ru)

[Василий Банников]

Вова,

Или имелось в виду, что у майора есть доступ не только к сертификату, но и к приватному ключу, который к этому сертификату прилагается

Да, это я и имел в виду. Думал, что это понятно.

[Василий Банников]

galaxy,

кстати, практически нигде в РФ этого реально не видел

Да, тоже не видел. Но нельзя исключать, что такое может когда-то произойти.

[Вова]

Спасибо, парни. Было очень увлекательно!

[Drno]

galaxy, для физ лиц пока все ок... но для юриков, тот же ЛК сайта казначейтсва, или ЕГАИС(чтоб он сдох) или еще куча гос структур - всё требует поставить левый серт))

[Alexander Kalinin]

Василий Банников, глобалсигн как раз таки этого не делал, отозвали только конторы, подконтрольные digicert'у

[Василий Банников]

Alexander Kalinin, оу, значит перепутал.

Answer 2

[CityCat4]

Вся система PKI - она иерархична и построена на доверии. Больше ни на чем. Только на доверии, которое достаточно один раз обмануть, чтобы перестать доверять системе в целом.

Есть некое множество контор, которые выпускают SSL-сертификаты. Они не самые лучшие и не самые правильные, просто однажды они собрались и решили замутить бизнес. Почему все доверяют им? Да просто потому что до недавнего времени не было поводов их обвинить в мошенничестве - там все в порядке (было) с "внутренней полицией", которая нарушителей выкидывала нафиг с пляжа.
Ну и - самое главное - все доверяют им, потому что их корневые сертификаты размещены в хранилищах корневых сертификатов у Windows и Mozilla (Google использует хранилище Windows).

И все

Никакой исключительности - просто тупой договорняк размером с мир. Но, поскольку всегда есть возможность поместить в хранилище корневых (кроме как в андроиде, который сразу же начинает визжать "аааа, меня контролирует Большой Брат!") свои собственные сертификаты - эта схема всех устраивала.

Пока ребята не решили выстрелить себе в ногу, прекратив выпуск сертификатов в зонах .ru/.su/.by/.рф просто по политическим мотивам. Их право - частный бизнес - он такой частный бизнес. Но тут все резко как-то вспомнили, что все "мировые удостоверяющие центры" вовсе нифига не мировые, а просто кучка самозванцев.

И будут у нас скоро госСA, госсертификаты, госбраузеры и все прочее в порядке импортозамещения.

Теперь о том, как проверяется валидность сертификата. А проверяется она очень просто - если сертификат выпущен CA, который находится в списке доверенных - он валидный.

ВСЕ!

Ты можешь развернуть свой CA, поместить его сертификат в хранилище корневых у себя на компе - и все сертификаты, выпущенные им - для тебя - станут валидными. Выпускай хоть для vk.com, хоть для whitehouse.gov.

И вот именно поэтому все так боятся поместить в хранилище корневых сертификат от какого-нибудь госСA - потому что все сертификаты, выпущенные им система будет считать валидными! Она не делает разницы между сертификатом от Thawte и от "Товарищ Майор Inc." - она примет сертификат и от того, и от того. А товарищ майор, получив возможность выпускать сертификаты, валидные в Вашей системе, будет выпускать их на ходу и подсовывать их вместо "настоящих", получая доступ к сессионным ключам и таким образом расшифровывая https-трафик (что собственно Fiddler и делает)

Comments

[Вова]

Понял, спасибо!
ЗЫ: как же хорошо, что есть ещё и certificate transparency!

[CityCat4]

Вова, Это да, но это так же как сверка серийного номера и издающего CA - нужно делать вручную. Да, некоторые сайты и некоторый софт делает такие дополнительные проверки и там уже сертификат на vk.com от CA товарища майора не проканает.

[Вова]

В свежей сборке хрома есть флаг Certificate Transparency 2022 Policy (можно увидеть на странице chrome:flags). Если я правильно понимаю, он включен по дефолту. То есть, просто подсунуть сертификат от майора уже не получится.

[CityCat4]

Вова, Хм. Если этот флаг делает только это (там ниже по тексту изменеия в версии 100), то это не больно поможет. Certificate Transparency не является обязательной частью сертификата (фактически ооочень мало что ею является), его наличие позволяет проверить факт его выдачи Thawte, а не Васян Inc., но его отсутствие не говорит о том, что сертификат неправильный.
То есть невозможно построить систему, которая автоматически не доверяла бы всем сертификатам без SCT, это дополнительное средство для ручной проверки. Браузер может делать какую-то пометку - мол, SCT нет или он неверен. Ну и кроме хрома есть и другие браузеры.

[Вова]

CityCat4, насколько я знаю, Certificate Transparency - это вообще не часть сертификата. Это отдельный список, который ведёт ЦА, добавляя туда каждый выпущенный сертификат.
И сама логика проверки описана вот такой портянкой:

Chrome Policies
Chrome has gradually required Certificate Transparency for more and more publicly-trusted certificates over the past few years.

Since 1 January 2015, Chrome has required that all Extended Validation certificates be disclosed via Certificate Transparency. Certificates that were not properly disclosed would be stripped of their EV status, but no warnings would be shown to visitors to sites that did not comply.

Since 1 June 2016, Chrome has required that all new certificates issued by the set of root certificates owned by Symantec Corporation are disclosed via Certificate Transparency. Certificates that were not disclosed, or which were not disclosed in a way consistent with RFC 6962, would be rejected as untrusted.

For all new certificates issued after 30 April 2018, Chrome will require that the certificate be disclosed via Certificate Transparency. If a certificate is issued after this date and neither the certificate nor the site supports CT, then these certificates will be rejected as untrusted, and the connection will be blocked. In the case of a main page load, the user will see a full page certificate warning page, with the error code net::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED. If you receive this error, this indicates that your CA has not taken steps to make sure your certificate supports CT, and you should contact your CA's sales or support team to ensure you can get a replacement certificate that works.
(с) https://chromium.googlesource.com/chromium/src/+/m...

[Вова]

CityCat4, "Ну и кроме хрома есть и другие браузеры." - осторожно замечу, что сейчас 90% браузеров сделано из хромиума. Даже Microsoft взял и заменил свой IE на Edge, у которого хромиум внутри.

[Вова]

CityCat4, "Ну и кроме хрома есть и другие браузеры." - осторожно замечу, что сейчас 90% браузеров сделано из хромиума. Даже Microsoft взял и заменил свой IE на Edge, у которого хромиум внутри.

[CityCat4]

Certificate Transparency погалается на метки CT, проставляемые в сертификате и на журналы CT, которые ведутся типо "независимыми организациями". Ну и политика, при которой при отсутствии CT сертификат обьявляется невалидным - это типичный пример поведения гугла, что "мы решаем, что есть хорошо".
Впрочем, в поледнее время в #опу пошли многие вещи, не только доверие к мировым CA....

Answer 3

[Максим Гришин]

Ну начнем с того, что корневых сертификатов приличное множество. Не один, и не один десяток даже. Пример:

64 штуки. И сертификат, подписанный любым из них, система считает доверенным. Это, собственно, и причина, почему боятся получить дополнительный корневой сертификат - заранее не знаешь, у кого есть возможность подписи с его помощью, и отличить сертификат, подписанный новым добавленным корневым (транзитивно или нет), можно только после того, как ты его получишь, при этом большинство программ не позволяют пользователю заблокировать соединение, установленное с использованием доверенного сертификата. То есть, вначале тебя с ним поимеют, потом тебе вычищать последствия.
Fiddler точно так же устанавливает свежесозданный (это важно, новая пара ключей, которых ни у кого нет) корневой сертификат тебе в доверенные корни, и использует его, чтобы на лету генерировать сертификаты для каждого сайта, куда ты ломишься, подсовывая их браузеру, чтобы тот не вякал, а сам выполняя роль man-in-the-middle.
Вопрос доверия имеющимся "корням" остается на совести администратора системы (то есть вас), при этом по сети могут прилетать обновления списка корневых сертификатов, после которых опять нужно проверять хранилище на случай появления нежелательных для вас корневых сертификатов.

Comments

[Вова]

Понял, спасибо!

Answer 4

[15432]

Fiddler перехватывает подключение, создает "промежуточный сайт", с тем же именем который и подписан левым сертификатом. Так он может видеть все пересылаемые данные и HTTPS перестает быть безопасным.

Потому все и боятся левых сертификатов, чтобы локально или на уровне провайдера ваш трафик / пароли / данные карт / переписку не прослушивали.

Comments

[Вова]

Понял, спасибо!

Answer 5

[Rsa97]

Кажется, что вся эта конструкция держится на том, что тот единственный корневой (?) сертификат, которым подписаны все остальные, есть только у удостоверяющего центра.

Именно. Система держится на доверии к УЦ.

почему все так боятся, что кто-то установит в их систему левый корневой сертификат?

Потому что это позволит злоумышленнику сгенерировать свои сертификаты на произвольные имена, подписанные корневым сертификатом, которому доверяет ваша система и, при возможности перенаправления трафика, отправить вас на свой сайт или просматривать ваш https-трафик, который вы считаете зашифрованным.

И сразу второй вопрос: почему какой-нибудь Fiddler, который устанавливает в систему свой корневой сертификат вообще работает?

Без установки своего корневого сертификата Fiddler не сможет перехватывать https-трафик. Тот, кто ставит себе Fiddler, должен понимать, что в системе возникает уязвимость.

Comments

[Максим Гришин]

"возникает уязвимость" в случае самоподписанного и свежесгенерированного сертификата? Это какая? Вот если он ставит корень откуда-то снаружи вместо персонального, тогда да.

[Rsa97]

Максим Гришин, А вы проверяли исходный код Fiddler'а? Убедились, что ваш свежесгенерированный сертификат никуда не передаётся?

Answer 6

[res2001]

Кажется, что вся эта конструкция держится на том, что тот единственный корневой (?) сертификат, которым подписаны все остальные, есть только у удостоверяющего центра.

Нет. Закрытый ключ этого сертификата есть только у удостоверяющего центра. А сам сертификат раздается всем подряд и даже в некоторых случаях предустановлен. Если у ЦС утечет закрытый ключ, это означает компрометацию всех подписанных им сертификатов.
А держится вся схема на том, что обе стороны обмена "доверяют" центру сертификации.

Про fiddler не понял вопроса. Почему он должен не работать? Многие приложения работают с сертификатами. Вы даже сами можете завести свой собственный ЦС и генерить сертификаты своим знакомым.

А не тем левым, который кто-то подложил в систему.

Например, подложив левый сертификат ЦС, можно сделать фишинговый сайт с сертификатом, подписанным этим левый ЦС и у вас в браузере все будет красиво. Вряд ли кто-то пойдет проверять подробности сертификатов. А фишинговым сайтам может быть сложно получить "правильный" сертификат. Хотя сейчас, по моему, это уже не актуально - есть службы генерирующие сертификаты всем подряд.