Autoridade certificadora do Brasil confiada apenas pela Microsoft emite certificado para google.com
(follow.agwa.name)-
Andrew Ayeragwa14h
- Uma autoridade certificadora do Brasil, confiada pela Microsoft, emitiu um certificado para
google.comque provavelmente não foi autorizado. Isso permite interceptar o tráfego para o Google no Edge e em outros aplicativos do Windows, exceto Chrome e Firefox. A Microsoft conhece bem o histórico de problemas dessa autoridade certificadora: comunicou preocupações em 2021, e mais problemas foram levantados durante a discussão pública do CCADB em 2022. Espero que este incidente provoque mudanças. Os usuários do Windows merecem um serviço melhor.
- Uma autoridade certificadora do Brasil, confiada pela Microsoft, emitiu um certificado para
-
Andrew Ayeragwa12h
- Como exemplo da incompetência da autoridade certificadora, a presença de um assunto de certificado contendo um número de série de subsidiária do Google não significa que ele tenha sido aprovado pelo Google. A autoridade certificadora pode colocar o que quiser nesse campo, e esta autoridade não valida claramente o conteúdo que insere no certificado.
-
Andrew Ayeragwa10h
- Proxies corporativos de ataque man-in-the-middle são muito nocivos.
1 comentários
Comentários do Hacker News
A ICP-Brasil encerrou oficialmente, em outubro, a emissão de certificados SSL/TLS públicos: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
Além de contornar a proibição de emitir certificados públicos, também violou as regras de CAA do Google, então é algo bem sério. Espero que essa autoridade certificadora seja bloqueada permanentemente no sistema operacional da Microsoft
certlm.msce parece que um hotfix já foi distribuído; não vejo a ICP Brasil entre as autoridades de certificação raiz confiáveisO pior é que a ICP-Brasil mencionada no bug report é um órgão operado pelo governo responsável por assuntos gerais ligados a assinaturas digitais
Ela se envolve até em assinar digitalmente contratos ou escrituras e acessar declarações de imposto
google.comdeve resolverA aparência disso é muito ruim. Eu pensei que Chrome e Firefox fossem remover a confiança nessa autoridade certificadora, mas eles já não confiavam nela
O fato de a Microsoft/Windows confiar em uma autoridade certificadora em que outros grandes players não confiam parece ainda pior para a Microsoft
Também não parece provável que melhore no curto prazo, e a direção continua sendo para baixo
Antigamente, ela não era confiável por padrão e precisava ser adicionada manualmente ao repositório de certificados, mas o governo brasileiro insistia em continuar usando essa autoridade certificadora em sites oficiais
A Microsoft parece bem permissiva ao confiar em autoridades certificadoras, suas decisões de inclusão não são transparentes, e o repositório de confiança também é bastante grande
Qualquer site razoável usaria apenas certificados confiáveis pelos navegadores, especialmente pelo Chrome, então o benefício dessas autoridades certificadoras extras parece baixo
Não sou usuário de Windows, mas fico curioso se há uma forma de usar o repositório de confiança do Chrome no Windows/Edge. A lista da Microsoft parece difícil de confiar
Não estou tentando defender a MSFT, mas, pela experiência de venda de sistemas operacionais para governos, ninguém está em um nível parecido com o da Microsoft. Eu tenderia a achar que a MSFT avalia cuidadosamente a adição de autoridades certificadoras
Fico me perguntando se você conhece a DigiNotar, uma autoridade certificadora aprovada pelo governo holandês que foi gravemente hackeada. Essa autoridade foi hackeada depois que seu certificado raiz foi adicionado aos repositórios de confiança da maioria dos navegadores e sistemas operacionais, e era amplamente confiável. Nesse caso, daria para dizer que a MSFT confiou “de forma permissiva” na autoridade certificadora raiz da DigiNotar? Acho difícil dizer isso também sobre o Mozilla Firefox
Quando vejo coisas assim, fico me perguntando por que os certificados também não são assinados pelo dono do certificado
Hoje, uma autoridade certificadora pode emitir um certificado para qualquer chave pública e domínio que quiser, e uma autoridade certificadora confiável maliciosa pode interceptar todo o tráfego
Se o certificado incluísse não só a assinatura da autoridade certificadora, mas também a assinatura do proprietário daquela chave pública, acho que isso impediria a autoridade certificadora de ter esse poder. O que estou deixando passar?
A autoridade certificadora, ou um invasor que engane a autoridade certificadora por meio de fraude no mundo real, pode se tornar o “proprietário” do par de chaves usado na segunda assinatura
Simplesmente reutilizar a infraestrutura PKI existente usada para as raízes de confiança de autoridades certificadoras não resolve isso. Também seria possível distribuir chaves públicas ou certificados via DNS, como no DANE, mas não é algo simples e exigiria consenso dos participantes existentes em todo o ecossistema
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
Gosto da direção geral de adicionar confiança descentralizada e autogerenciada em cima ou ao lado da PKI centralizada existente para melhorar o estado atual. Isso poderia ser uma ponte para uma arquitetura mais sistematicamente resiliente
Se o dono do certificado já tiver uma chave pública verificada para assinar o certificado, a autoridade certificadora deixa de ser necessária
Fico me perguntando por que o Brasil conseguiu fazer sua autoridade certificadora ser confiável pela Microsoft. Por exemplo, o Cazaquistão[1] não conseguiu
Uma solução simples seria instituições independentes fornecerem declarações de confiança sobre autoridades certificadoras, e o usuário decidir se confia ou não levando em conta, em conjunto, o julgamento de várias instituições
É surpreendente que ainda não exista uma estrutura assim, quando o caminho de ataque é tão claro
Mesmo que se crie algum esquema alternativo de PKI, ele não fica livre do problema de a Microsoft firmar acordos
O problema está entre o teclado e a cadeira. Os usuários já têm dificuldade para entender SSL. Os navegadores consideraram complicada demais a diferença entre EV, DV e OV e a esconderam
Como uma avó entenderia se abrisse o site do banco e o certificado fosse confiável para Google, Apple e Microsoft, mas não para a Mozilla, e o plugin do navegador mostrasse um indicador de confiança verde-amarelado?
Infelizmente, confiança é binária. Quando a avó clica no favorito do banco, ela vê o site do banco ou vê um aviso assustador
Só pelo texto original, não fica claro se isso foi um erro ou algo intencional
Porque era garantido que seria descoberto, e isso certamente criaria uma controvérsia capaz de ameaçar justamente a funcionalidade que foi preparada a um custo considerável
google.comExiste algum cenário que não seja malicioso?
É especulação, mas soa como conluio intencional ou coerção entre governo e uma grande empresa
Por exemplo, o governo brasileiro exigindo que a Microsoft permitisse acesso para ataque man-in-the-middle em dispositivos Windows em troca do direito de operar no país
Governos normalmente conduzem planos ruins de forma sigilosa. Algo assim seria difícil demais de passar despercebido, então não é uma forma viável. O fato de estarmos lendo este texto no HN agora é justamente um exemplo disso
Seria bom se alguém tivesse uma lista de autoridades certificadoras estatais ou ligadas a Estados. Eu gostaria de me livrar de todas elas
É difícil determinar quais autoridades certificadoras são operadas ou controladas por governos. O nome por si só nem sempre deixa isso claro, empresas privadas também podem operar segundo instruções do governo, e a lei pode obrigar autoridades certificadoras a cumprir solicitações governamentais
As que estão aqui eram todas organizações governamentais ou militares que claramente operavam autoridades certificadoras, e a autoridade certificadora brasileira mencionada aqui é a segunda da lista
[1] https://alexsci.com/blog/ca-trust/#government-control-of-cas