我偶然发现了所有现代浏览器和计算机都信任的证书颁发机构中的一个巨大安全漏洞。

具体地说,我能够为我不拥有的域获得有效的签名证书。如果我有能力成为一名中间人,那么我将能够出示完全有效的ssl证书。

我不需要任何SQL注入或编码。我很形象地偶然发现了它。

报告此问题的正确方法是什么?我想遵守道德规范,并将其报告给有问题的CA,但我也不希望他们简单地修复漏洞,然后彻底清除所有漏洞。这个问题似乎已经存在了一段时间,而且我根本不够聪明,无法成为唯一能够找到它的人。

我担心,仅联系CA可能会引起恐慌就他们而言,他们担心像DigiNotar一样的事件,会采取任何措施阻止公众发现它。

我允许​​我也联系一些主要参与者,例如其他证书颁发机构或其他网站,例如CloudFlare或Google? (我知道CloudFlare在公开公告发布前就已经接受了有关HeartBleed的警告。)

注意:我现在使用一个假名帐户发布消息,以(暂时)保持匿名。

编辑:该问题与另一个问题有关,但我认为此漏洞不在该问题的范围内。这实际上可能会影响整个互联网(即,每个在线用户都是客户),我的问题明确指出,仅联系“开发人员”(链接问题的公认答案)对我而言似乎并不是最好的第一步。 br />
编辑2:我已经和一些人联系,他们建议我避免在这个论坛上再谈(对不起!)。漏洞完全修复并吊销了所有不正确的证书后,我将在稍后更新此问题。

编辑3:详细信息。我已在我的个人网站上发布了有关该漏洞的详细信息。这个故事仍在进行中,您可以阅读Mozilla,Google和CA WoSign之间的讨论。

编辑4:如所承诺的,我正在更新Ars Technica撰写的文章的链接。关于此以及其他涉及WoSign的事件。看起来WoSign和StartCom(现在由同一公司拥有)可能有被根撤消的严重危险。

评论

嗨,这有什么作用吗?如果有咨询的URL或其他内容,那将很有趣!

是你吗oalmanna.blogspot.co.uk/2016/03/startssl-domain-validation.html

@ paj28不,那不是我。但是我终于找到联系Ars Technica的人,看看他们是否想对我的信息做任何事情。我将在稍后提供更多详细信息来更新此问题。要么带有指向该故事的链接,要么(如果没有人愿意写一个故事(现在已有1年以上的新闻了)),其中包含有关现已修复的漏洞的详细信息。

对于任何想知道发生了什么的人:schrauger.com/…

哇。看起来两个CA现在将被Firefox不信任,部分原因是由于这一点。 docs.google.com/document/d/…

#1 楼

这样的主张通常是相当严重的。

尽管与有问题的供应商联系是一个负责任的事情,但是您当然应该考虑通知相关的根存储安全团队,因为他们负责设计,评估,并应用安全控制措施来防止这种情况的发生,并且可能需要直接与CA一起确定问题。

就负责任的披露而言,您还应该立即将此报告给每个主要的根存储运营商:谷歌,微软,苹果,Mozilla。只需搜索“ <vendor>报告安全错误”,第一个结果将告诉您。这些只是一些受影响的供应商-例如

如果您不确定如何执行此操作,希望保持匿名或需要协调,Chromium安全团队很乐意进行调查,联系相应的CA并与更广泛的行业。有关详细信息,请参见https://www.chromium.org/Home/chromium-security/reporting-security-bugs。

评论


我将接受的答案更改为此。在所有事情发生之后,这就是我本来应该接受的建议。如果涉及证书颁发机构,则应与有关的CA一起联系根存储运营商。

– MotorStoic车床
16-9-27在19:21



#2 楼

听起来您的问题是此漏洞的严重性超出了您的预期。

此处所述的负责任披露规则要求您应与供应商联系并协商一段时间。 -在1周到6个月之间,具体取决于所需更改的深度-在公开您的发现之前,他们可以实施补丁,吊销和重新颁发证书,发布安全公告等。目的是在协商期结束时获得公众的认可,但是如果卖方正确地完成了工作,您的上市就不会再造成任何损害。

如果弄清楚如何与他们联系/协商负责任的披露期限,在结果结尾公开,等等,这对于您来说太大了,或者您不知道如何开始,那么我建议与知名安全部门联系并与之合作已经建立出版渠道的研究员。查找一个已经发布了类似漏洞的知名人士,然后打电话给他们!听起来您毫无疑问会受到他们的关注。

也恭喜您!我期待在6个月内在纸上看到您的名字!

评论


在@ paj28的建议下,我推广到了大学以外的研究人员

–麦克·恩斯沃思(Mike Ounsworth)
2015年6月10日15:12

如果您需要制定披露协议的帮助,或者只是联系供应商的后勤服务,那么我建议与负责任的第三方合作,例如电子前沿基金会或SANS研究所。

–拉奇
15年6月10日在18:16

还有另一种公开的流派:完全公开。我不一定同意他们的观点,但很高兴知道人们不同意责任披露。

– David天宇黄
2015年6月12日19:17在

#3 楼

恭喜你!听起来像是一个重大发现。

首先,生成一些证据。 github.com SSL证书听起来是一个不错的开始。确保保留所有网络跟踪信息,以准确显示发生的情况。

执行此操作时,您需要确定是否违反任何法律或条款和条件。如果CA没有赏金漏洞,则几乎可以肯定。在这种情况下,保持匿名非常重要。这里的一个问题是您可能已经在测试期间透露了您的身份。例如,您可能必须支付该证书的费用;您是如何付款的?如果您已经以非匿名的方式违反了法律,那么这几乎可以排除针对CA的任何强硬手段。

虽然您希望与CA取得联系值得称赞,请记住,您确实有可能出售此漏洞。从像vupen这样的组织中,这可能价值100,000美元。取决于您的感受。

如果您想公开,可以自己做,但我同意Mike的建议,可以与知名研究人员联系。我认为您的目标可能比大学研究人员更高。诸如Bruce Schnier或Dan Kaminsky之类的名人可能对此感兴趣。您必须相信他们的细节,并使用他们的权重来认真对待问题。

关于CloudFlare尽早了解HeartBleed的观点,这是主要漏洞的标准做法-关键提供商已获得预警。但这要远远晚于该过程。就HeartBleed而言,已开发出补丁程序(但未公开发布)。我不确定这将如何应用于此漏洞。看来CA颁发的每份证书现在都是可疑的。

无论您选择做什么,祝您好运!

评论


大声笑-“据认为,许多购买者是执法人员,而且是“友好的”情报,大多数人觉得这些情报更可口” –并非居住在其他195个国家/地区的人!

–麦克·恩斯沃思(Mike Ounsworth)
15年6月10日在15:04

@ paj28如果他们像我一样重视隐私和自由,我绝不会将任何剥削出售给任何执法或情报机构,没有钱可以购买自由:)

– Freedo
15年6月10日在18:23

“。我不确定这将如何应用于此漏洞。”-可能等效的是将其发布给浏览器供应商,OS供应商等,以便他们可以发出例行更新,以静默方式删除有问题的根证书(在客户证书已更新为不受影响的新证书。)如果CA可以通过纸质踪迹查明是否确实欺诈地签发了任何证书(OP除外),则可能没有必要。

–Random832
2015年6月10日在20:08



@ paj28这就是为什么应该主张将这个市场定为非法的公民,为什么向政府出售功劳是合法的,如果您向罪犯出售您就是罪犯呢?我看不出区别,仅使用技术将很难解决这个问题

– Freedo
15年6月10日在20:25

1.请不要出售此漏洞。 2.如果确实需要颁发证书作为概念证明,请按此处所述安全地进行操作:agwa.name/blog/post/how_to_responsfully_misissue_a_cert

– AGWA
2015年6月12日在21:08



#4 楼

如果不确定,您也可以联系CERT:
https://forms.cert.org/VulReport/

他们在处理非常严重的安全漏洞方面都有经验,通常被认为是受托方。至少他们可以确认您对漏洞的评估是正确的,并记录下您发现漏洞的部分。

CERT通常建议您自己与供应商联系,在这种情况下,确保他们会提供帮助。

评论


我为CERT工作。我们很乐意帮助协调此漏洞。

–埃德·麦克曼(Ed McMan)
2015年6月11日在13:44



@EdMcMan视时间而定(除非您是与他交谈的聚会)他可能会想念您

–环境主义者
2015年6月12日在2:33

#5 楼

Ryan Sleevi在这方面有很好的建议。

在发出太多警报之前,我会按照他的建议与Chromium安全团队联系,以确保您不会误会任何内容。

您是否已根据CAB论坛基准要求检查了漏洞,以查看漏洞的执行是否违反了这些规则:https://cabforum.org/baseline-requirements-documents/?

例如,我知道一个发行惯例似乎与您的摘要相符,但是AFAIK完全有效,在CAB论坛看来并不是一个漏洞。可以为子域生成证书,而无需控制根。即您无需证明对google.com的控制权即可获得test.google.com的证书。

评论


试图显示security.stackexchange.com的证书而没有证明对stackexchange.com的控制将是一个类似的示例。

– Hagen von Eitzen
2015年6月11日在21:32

真?天哪,我不知道。任何用户如何验证他应该在哪个子域上?

–bbsimonbb
15年11月18日在8:53

#6 楼

我建议您在了解漏洞的同时获取文档和演示。理想的情况是,如果您可以完全由已经了解情况的第三方进行验证。

为避免出现完整性问题或供应商拒绝针对您的漏洞的建议,必须通过演示/执行进行补充证明。由于我们正在获取与证书相关的证书,因此捕获证明故障的证书链将是理想的选择。当然,任何显示活动状态的会话捕获都是有用的。

如果没有完整的披露,我只是在猜测您到底需要什么证明。获取证明文件的证明并将其种子放入GitHub,Pastebin,电子邮件列表等公开可见的位置。如果您有充分的证据,这将导致无法拒绝。

剩下的问题是身份以及与供应商和公众的沟通。我不会打扰您的个人身份透露,这取决于您。交流,如果您想动手操作,并准备将其弄糟或没有经验,比如说整个事情都炸毁或横盘整理,则可以进行联系。

或者,从社区,联邦紧急基金会或至少您的律师那里寻求代理。建议您以个人利益来保护您的利益,并在接受企业的行业帮助之前仔细考虑。如果您征求此类建议,我相信这里的社区可以推荐一些代表形式。

整本书都可以针对这组主题进行撰写,我试图将其简短化,以免出现TLDR ;领土。

另外,在旁注中,感谢您为发现该潜在漏洞所花费的时间。十分需要。

#7 楼

操作系统和浏览器供应商可能是报告此漏洞的好地方,因为他们管理根CA列表。以下是一些相关链接:


www.google.com/about/appsecurity/
www.mozilla.org/zh-CN/about/governance/policies/security -group / bugs /
www.apple.com/support/security/
technet.microsoft.com/en-us/security/ff852094.aspx


#8 楼

您也可以将其报告给“ questions@cabforum.org”,但要意识到,如果所涉及的CA是CA / B论坛成员,他们也会看到它。但是,所有其他CA和Browser成员也将如此。另一种选择是将其报告给由全球8个最大的公共SSL发行者组成的CA安全委员会。该行业组织对维护其成员的高标准以及在所有CA中推广最佳实践感兴趣。表格在这里:https://casecurity.org/contact-us/

评论


人们能否对此表示不满,请解释其背后的原因?

–cnst
2015年6月11日,下午4:03

此页面主要面向广告。联系人链接转到“媒体联系人–连接营销”。

– Jeff Ferland♦
2015年6月11日下午6:37

现在看来还可以。也许他们改进了页面。未删除。

–Rory Alsop♦
19年1月3日在15:39