Jak bardzo mocno można strzelić we własną stopę? Co powiecie na to, żeby serwis weryfikacji bezpieczeństwa witryn www ocenił stronę służącą do weryfikacji listy odwołanych certyfikatów SSL tego samego producenta jako potencjalnie niebezpieczną?
Firma Comodo w świecie bezpieczeństwa zasłynęła po tym, kiedy to po włamaniu do jednego z jej partnerów tajemniczy włamywacz wygenerował 9 prawidłowych, zaufanych przez przeglądarki certyfikatów SSL najpopularniejszych serwisów poczty elektronicznej czy Skype. Bez wątpienia wpadka z ostatnich dni jest niczym w porównaniu z tym, co wydarzyło się rok temu, ale także zasługuje na kilka słów.
Czy ten certyfikat jest ważny?
Online Certificate Status Protocol to standardowy protokół, obsługiwany przez wszystkie większe przeglądarki, pozwalający im na weryfikację w czasie rzeczywistym, czy certyfikat SSL otrzymany od serwisu www nie został odwołany. W większości przypadków w razie braku odpowiedzi serwera OCSP przeglądarki jedynie poinformują użytkownika o tym, że certyfikat może być nieważny, więc brak informacji o ważności certyfikatu nie blokuje korzystania z witryny.
Gdzie czai się niebezpieczeństwo
Kilka dni temu jeden z użytkowników produktu McAfee Net Guard, wcześniej skonfigurowawszy Firefoxa tak, by wymagał odpowiedzi serwera OCSP, nie mógł otworzyć jednej z witryn korzystających z protokołu https. Postanowił przyjrzeć się bliżej sytuacji i zauważył, że McAfee zablokował połączenie do IP 178.255.83.1 jako potencjalnie niebezpieczne.
Okazało się, że za tym adresem IP kryje się… ocsp.comodoca.com, serwer OCSP firmy Comodo , która dostarcza wiele certyfikatów SSL używanych przez witryny internetowe. Witryna ta została uznana przez McAfee za niebezpieczną, blokując tym samym możliwość weryfikacji certyfikatów.
Zgadzamy się, że nasza strona jest niebezpieczna
W całej sprawie najciekawsze jest to, że Comodo również prowadzi usługę weryfikacji reputacji witryn www. I samo zaklasyfikowało swoja witrynę jako podejrzaną!
Niestety raport został już przez Comodo usunięty, więc nie jesteśmy w stanie poznać jego szczegółów. Jedyne wyjaśnienie, które znajdujemy w pamięci Google, mówi „Black listed pages were found on this site”, cokolwiek to oznacza.
Jak do tego doszło?
Są dwie możliwości i obie nie są dla Comodo najlepsze. W pierwszym wariancie albo na stronie znajdowały się nieautoryzowane treści, albo serwer był wykorzystywany w niecnych celach. Niedobrze. W drugim wariancie był to błąd systemu oceniającego strony www. Tu problem jest podwójny – raz, to jakość mechanizmu oceny, który na całkowicie niewinnej stronie znalazł zagrożenie, a dwa to nieumieszczenie tak kluczowego serwisu na białej liście wyłączonej z blokowania. Tak czy inaczej, Comodo zasłużyło na ten artykuł.