أظهر تحقيق أجرته موزيلا أن مركز الشهادات الصيني WoSign (الذي كان هناك عدد من المقالات حول Habré للحصول على شهادات مجانية ) على مدى العامين الماضيين ارتكب كمية كبيرة من الانتهاكات.2015
بدأ الأمر بتفاهات: لاحظت Google ، في سياق المراقبة المستمرة للشهادات ، الإصدار المتكرر للشهادات ذات الأرقام التسلسلية المتطابقة ، والتي تعد انتهاكًا رسميًا للمعايير. ولوحظت انحرافات طفيفة أخرى عن القواعد.يبدو أنه لا يوجد شيء خطير. ولكن هذا في حد ذاته إشارة إلى مركز الاعتماد لإيلاء الاهتمام لما يحدث وإنشاء آليات التحقق. ومع ذلك ، فإن سياسة إصدار الشهادة التي تطبقها WoSign تتخلف عن ممارساتها الخاصة. تم إجراء تغييرات في السياسة بعد الحوادث من أجل التخفيف بأثر رجعي وتبرير الانحرافات.بالإضافة إلى ذلك ، تم اكتشاف أوجه قصور عند التحقق من "ما إذا كان مستلم الشهادة يملك المجال الذي يطلب شهادة من أجله." في حد ذاتها ، فهي ليست حاسمة ، لا يزال بإمكانها تبسيط إصدار شهادة للمهاجمين. على سبيل المثال ، يمكن إجراء التحقق من ملكية المجال باستخدام منافذ ديناميكية (فوق 50000). ترى Mozilla أنه يجب إصدار الشهادات باستخدام المنافذ المميزة فقط (1024 وما دون). في الوقت نفسه ، لم يقم WoSign بتسجيل أرقام المنافذ المستخدمة ، وبالتالي لا يمكن تقدير حجم المشكلة بشكل كامل.تلا ذلك نقاط ضعف خطيرة. أولاًسمح للمهاجم الذي يمتلك نطاقًا فرعيًا بالحصول على شهادة للنطاق بالكامل. تمكن الباحث الذي اكتشف هذا من الحصول على شهادات وهمية من GitHub (على سبيل المثال ، test.imtqy.com) ، و Microsoft ، و Alibaba. كان WoSign يعرف عن الثغرة الأمنية لمدة 14 شهرًا ، ولكنه لم يصلحها ، فقتصر على إبطال الشهادات التي تحتوي على "github" في اسم النطاق. استمر إصدار الشهادات الخاطئة. توافق الشركة على إلغاء شهادات المشكلة المتبقية فقط في حالة الطلبات من مالكي المجالات المتأثرة.الثغرة الثانية كانت ملحمية حقًا. بعد اجتياز اختبار ملكية المجال بنجاح ، تمكن المهاجم من إضافة أي مجال خارجي إلى قائمة المجالات المحددة. على الاطلاق. بالفعل دون أي تحقق.كما لو أن ذلك لم يكن كافيًا ، فقد استحوذت WoSign سراً على سلطة شهادة StartCom الإسرائيلية. علاوة على ذلك ، عندما ألمح رجال Mozilla إلى أن "القيام بذلك بشكل خاطئ" (وبعبارة معتدلة ، فإن مثل هذا التستر ينتهك سياسات Mozilla) ، بدأ WoSign في إنكار كل شيء ومحاولة منع الكشف عن هذه المعلومات .عندما أصبح من الواضح أنه لا يمكنك إخفاء الخياطة في الحقيبة ، أصدرت الشركة بيانًا صحفيًامعترفًا بـ "الاستثمار في StartCom". في نفس الوقت ، القائد الوحيد لـ StartCom ، وفي نفس الوقت ، الرئيس التنفيذي لـ WoSign هو نفس الشخص. هناك أيضًا دليل فني على أن StartCom (حاليًا) تستخدم معظم بنية WoSign الأساسية. هناك الكثير من المصادفات للشركات التي ، وفقًا لبيان صحفي لـ WoSign ، "تعمل وتتم إدارتها بشكل مستقل".2016
بدأ WoSign في العام التالي بإصدار شهادات SHA-1 بأثر رجعي في منتصف يناير. تاريخ "لف" قبل شهر. هذا جعل من الممكن تجنب حظر الشهادات من قبل المتصفحات الشائعة ، التي وافقت على قبول شهادات SHA-2 فقط منذ عام 2016 ، لأنه بسبب نمو قوة الحوسبة ، خوارزمية SHA-1 تفقد بالفعل الأرض ولا تعتبر قوية بما فيه الكفاية . يتم تنظيم وثائق منتدى CAB بوضوح - منذ عام 2016 ، يجب ألا تصدر سلطات إصدار الشهادات الشهادات باستخدام SHA-1:اعتبارًا من 1 كانون الثاني (يناير) 2016 ، يجب ألا يصدر CA أي شهادات مشترك جديدة أو شهادات CA ثانوية باستخدام خوارزمية التجزئة SHA - 1.
تمكنا من الكشف عن ثلاث شهادات بسبب إهمال WoSign: علامات STC (الطابع الزمني للشهادة الموقعة) التي تم تنفيذها في ثلاث منها تشير إلى منتصف يناير 2016 ، مما يعني بوضوح أنه لا يمكن إنشاء الشهادات قبل هذا الموعد النهائي.تم الكشف عن 62 شهادة أخرى لأنها صدرت يوم الأحد. هذا غير معهود تمامًا لـ WoSign - في عطلة نهاية الأسبوع ، لا يعمل الموظفون في الصين ولا يتم إصدار الشهادات. كان هناك دليل آخر غير مباشر على تزوير التاريخ.في شهر يوليو ، ميزت StartCom نفسها بخدمة StartEncrypt الخاصة بها ، والتي تم إطلاقها كاستجابة لـ Let's Encrypt الشهير. من خلال تغيير معلمة واحدة فقط لطلب POST في نهاية التحقق التلقائي ، كان من الممكن التأكد من عدم توقيع الشهادة من "StartCom Class 1 DV Server CA" ، ولكن من "WoSign CA Free SSL Certificate G2" أو حتى "CA 沃 通 根 证书" (شهادة جذر WoSign أخرى). بعض هذه الشهادات الصادرة عن StartCom والموقعة من WoSign CA Free SSL Certificate G2 مؤرخة أيضًا بأثر رجعي.رسميا ، لا يُحظر الإفراج بأثر رجعي ، ولكنه ممارسة شريرة. نفت WoSign بكل طريقة أنها زورت تاريخ إصدار هذه الشهادات. ادعى ممثلوها أنه بحلول هذا الوقت كانوا قد أزالوا بالفعل الرمز المقابل من خوادم "المعركة" ، التي زورت التاريخ. ولكن كيف يمكن لأصحاب StartCom استخدام رمز توقف حتى WoSign عن استخدامه؟بشكل عام ، توضح هذه الحلقة عدم الاهتمام بالمبرمجين - إذا تركت رمزًا خطيرًا في عملية مهمة مثل إصدار الشهادات ، فسيتم "إطلاق" عاجلاً أم آجلاً. وهو ما حدث.بالإضافة إلى ذلك ، يبقى السؤال ، كيف يمكن لـ StartCom إصدار شهادة نيابة عن WoSign بحرية؟ بعد كل شيء ، أكد الرئيس التنفيذي لشركة WoSign للجميع أن الشركات تعمل بشكل مستقل تمامًا.المزيد - المزيد: نقاط الضعف الحرجة الموجودة في StartEncrypt. يسمح لأحد كتأكيد للتحكم في المجال لتحديد المسار إلى أي ملف موجود. على سبيل المثال ، قم بتحميل الملف إلى Dropbox وحدد المسار إليه. ستكون النتيجة شهادة لموقع dropbox.com. باستخدام ثغرة أمنية أخرى ، يمكن للمهاجم الحصول على شهادة لأي موقع يدعم OAuth 2.0 (google.com ، facebook.com ، paypal.com ، linksin.com ، login.live.com).وأخيرًا ، في سبتمبر 2016 ، لاحظ شخص من المجتمع أنه في لقطة الشاشة المرفقة بأحد تقارير WoSign ، تم إبراز إخراج أداة الحفر من حزمة bind-utils. إصدار هذه الأداة هو 9.7.3-8.P3.el6. "El6" تعني "Red Hat Enterprise Linux 6". بالطبع ، ينتهي دعم RHEL6 فقط في عام 2016 ، ولكن الإصدار الحالي من أدوات الربط هو 9.8.2-0.47.rc1.el6. و "9.7.3-8.P3.el6" يتوافق مع حزمة لم يتم تجديدها مباشرة من عام 2011. على مدى السنوات الخمس الماضية ، تم إغلاق 19 نقطة ضعف في المنبع. لا تدع أيًا منهم ينتقد ، اطرح على نفسك سؤالًا لا إراديًا - ربما في WoSign لسنوات عديدة لم يكلفوا عناء تحديث ليس فقط خادم واحد فقط ، ولكن البنية التحتية بأكملها؟وما هي النتيجة؟
قررت Moziila التوقف عن الوثوق بشهادتي WoSign و StartCom الجديدتين لمدة عام. صدرت سابقا ، جيدة أو سيئة ، لا تزال صالحة. بالنسبة للسنة المصدرة ، يجب على سلطات التصديق تصحيح جميع أوجه القصور ، ثم الخضوع لسلسلة من الفحوصات. خلاف ذلك ، سيتم حظر شهاداتهم إلى الأبد.أعلنت شركة أبل ، بعد قراءة التقرير ، أن نظامي iOS و macOS يتوقفان إلى أجل غير مسمى عن الشهادات الموثوقة التي تم إصدارها بعد 19 سبتمبر 2016. نظرًا لعدم تثبيت شهادات الجذر WoSign مسبقًا على منتجات Apple ، سيتم حظر الشهادات المتوسطة من StartCom و Comodo التي يستخدمها WoSign.لا يزال رد فعل أكبر اللاعبين المتبقيين في سوق المتصفح (Google و Microsoft) غير معروف.التحديث اعتبارًا من 11 أكتوبر 2016: وافقت الشركة الصينية Qihoo 360 ، التي تمتلك كلا من سلطات التصديق ، على فصل WoSign و StartCom تمامًا ، ثم مراجعة جميع عمليات التحقق المطلوبة. بالإضافة إلى ذلك ، تمت إزالة رئيس WoSign من منصبه.التحديث اعتبارًا من 26 أكتوبر 2016 : اعتبارًا من Firefox 51 ، ستعتبر الشهادات الصادرة عن WoSign و StartCom بعد 21 أكتوبر 2016 غير صالحة. يتم إبطال الشهادات التي تستخدم SHA-1 وإصدارها بأثر رجعي من خلال CRL. سيتم حذف الشهادات الأساسية لـ WoSign و StartCom ، التي تم من خلالها ارتكاب الانتهاكات ، في المستقبل. سيتعين على سلطات إصدار الشهادات إصدار شهادات جذر جديدة. إذا وافقت Mozilla على قبول هذه الشهادات الجذرية الجديدة ، فسيطلب منك إدراجها حذف الشهادات القديمة. وإذا لم توافق ، فسيستمر حذف الشهادات القديمة بعد مارس 2017. أما بالنسبة لمكتب تدقيق Ernst & Young Hong Kong ، الذي فاته انتهاكات WoSign ، فإن عمليات التدقيق لم تعد جديرة بالثقة.التحديث اعتبارًا من 1 تشرين الثاني (نوفمبر) 2016 : سيشير Chrome 56 إلى الشهادات الصادرة عن WoSign و StartCom بعد 21 تشرين الأول (أكتوبر) 2016 على أنها غير جديرة بالثقة .التحديث اعتبارًا من 8 يوليو 2017: بدءًا من Chrome 61 ،الثقة في جميع شهادات WoSign و StartCom ، حتى تلك الصادرة قبل 21 أكتوبر 2016 ، تتوقف تمامًا .التحديث اعتبارًا من 9 أغسطس 2017: تتوقف Microsoft أيضًا عن الثقة في شهادات المراجع المصدقة هذه . سيستمر Windows في الوثوق فقط بالشهادات التي تم إصدارها قبل 26 سبتمبر 2017.التحديث اعتبارًا من 9 أغسطس 2017 : قررت إدارة StartCom إغلاق الشركة.نص الرسالةDear customer,
As you are surely aware, the browser makers distrusted StartCom around a year ago and therefore all the end entity certificates newly issued by StartCom are not trusted by default in browsers.
The browsers imposed some conditions in order for the certificates to be re-accepted. While StartCom believes that these conditions have been met, it appears there are still certain difficulties forthcoming. Considering this situation, the owners of StartCom have decided to terminate the company as a Certification Authority as mentioned in Startcom´s website.
StartCom will stop issuing new certificates starting from January 1st, 2018 and will provide only CRL and OCSP services for two more years.
StartCom would like to thank you for your support during this difficult time.
StartCom is contacting some other CAs to provide you with the certificates needed. In case you don´t want us to provide you an alternative, please, contact us at certmaster@startcomca.com
Please let us know if you need any further assistance with the transition process. We deeply apologize for any inconveniences that this may cause.
Best regards,
StartCom Certification Authority