Re: вранье?
От Dmitry Miloserdov (2:5020/400) к Serguei E. Leontiev
В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)
From: Dmitry Miloserdov <dmitry@bis.ru>
01.12.2014 17:52, Serguei E. Leontiev пишет:
> 2. Атаки типа "человек по середине" (MITM) могут быть заметно
> изощрённее. Т.к. говорят, что некоторые из удостоверяющих центров (CA),
> которые входят в предустановленные доверенные корневые УЦ FireFox и др.
> до сих пор выдают сертификаты подчинённых УЦ. Соответственно, если не
> используется аутентификация клиента по сертификату, то появляется
> простая возможность полного обмана TLS клиента, как это было несколько
> лет назад с каким-то взломанным УЦ
Может кто-нибудь поможет объяснить ситуацию.
Hекоторое время назад возник вопрос как с ssl работает сервис cloudflare.com
Он для соединений с клиентом выдавал свой сертификат и ни один браузер
на это не ругался.
Для примера использовал сайт https://unmitigatedrisk.com/
Я смог добиться аналогичного поведения на своем сервере в хроме но
через некоторое время браузер обновился и на мой сайт хром теперь
ругается. С https://unmitigatedrisk.com/ по-прежнему все ок.
Сейчас я не могу получить сертификат сайта:
запускаю wget -d https://unmitigatedrisk.com/
(результаты в конце чтоб не рвать текст мусором )
Смотрю адрес куда соединялся wget и пытаюсь соединиться явно
wget -d https://104.28.19.111/
В результате пролучаю что по одному и тому же адресу
отвечают с разными сертификатами.
успешно с CN=sni10012.cloudflaressl.com
неуспешно с CN=ssl2000.cloudflare.com
через openssl s_clinet -connect unmitigatedrisk.com:443
тоже получаю unmitigatedrisk.com и не вижу там что-то
что могло бы сравниться с DNS:unmitigatedrisk.com
Hа мой взгляд тут какая-то дыра.
$ wget -d https://unmitigatedrisk.com/
DEBUG output created by Wget 1.15 on linux-gnu.
URI encoding = 'ANSI_X3.4-1968'
--2014-12-02 16:28:47-- https://unmitigatedrisk.com/
Resolving unmitigatedrisk.com (unmitigatedrisk.com)... 104.28.19.111,
104.28.18.111
Caching unmitigatedrisk.com => 104.28.19.111 104.28.18.111
Connecting to unmitigatedrisk.com
(unmitigatedrisk.com)|104.28.19.111|:443... connected.
Created socket 3.
Releasing 0x0000000000df6810 (new refcount 1).
Initiating SSL handshake.
Handshake successful; connected socket 3 to SSL handle 0x0000000000df6ad0
certificate:
subject: /OU=Domain Control Validated/OU=PositiveSSL
Multi-Domain/CN=sni10012.cloudflaressl.com
issuer: /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA
Limited/CN=COMODO ECC Domain Validation Secure Server CA 2
X509 certificate successfully verified and matches host unmitigatedrisk.com
[ ... ]
$ wget -d https://104.28.19.111/
DEBUG output created by Wget 1.15 on linux-gnu.
URI encoding = 'ANSI_X3.4-1968'
--2014-12-02 17:07:46-- https://104.28.19.111/
Connecting to 104.28.19.111:443... connected.
Created socket 3.
Releasing 0x0000000001c44980 (new refcount 0).
Deleting unused 0x0000000001c44980.
Initiating SSL handshake.
Handshake successful; connected socket 3 to SSL handle 0x0000000001c449d0
certificate:
subject: /C=US/ST=CA/L=San Francisco/O=CloudFlare,
Inc./CN=ssl2000.cloudflare.com
issuer: /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization
Validation CA - G2
ERROR: certificate common name 'ssl2000.cloudflare.com' doesn't
match requested host name '104.28.19.111'.
To connect to 104.28.19.111 insecurely, use `--no-check-certificate'.
Closed 3/SSL 0x0000000001c449d0
--- ifmail v.2.15dev5.4
* Origin: NPO RUSnet InterNetNews site (2:5020/400)
Ответы на это письмо:
From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку
From: Username
Или коротким