Mi sono imbattuto in un'enorme vulnerabilità di sicurezza in un'autorità di certificazione che è considerata affidabile da tutti i browser e i computer moderni.
In particolare, sono in grado di ottenere un certificato firmato valido per un dominio che non possiedo. Se avessi i mezzi per diventare un uomo nel mezzo, sarei in grado di presentare un certificato ssl perfettamente valido.
Questa vulnerabilità non richiedeva iniezioni o codici SQL da parte mia. In senso figurato mi sono imbattuto in esso.
Qual è il modo corretto per segnalarlo? Voglio essere etico e riferirlo alla CA incriminata, ma non voglio che risolvano semplicemente la vulnerabilità e poi spazzino tutto sotto il tappeto. Sembra che questo problema ci sia stato da un po 'e non sono abbastanza intelligente da essere l'unico in grado di trovarlo.
Sono preoccupato che il solo contatto con la CA causerà il panico da parte loro e, temendo un incidente simile a DigiNotar, farà di tutto per impedire al pubblico di scoprirlo.
Sono autorizzato a contattare anche alcuni dei principali attori, come altre autorità di certificazione o altri siti come CloudFlare o Google? (So che CloudFlare è stato informato su HeartBleed prima che l'annuncio pubblico fosse pubblicato.)
Nota: sto postando con un account psuedonym per (provare a) rimanere anonimo per ora.
Modifica: questa domanda è relativa a un'altra domanda , ma ritengo che questa vulnerabilità non rientri nell'ambito di questa domanda. Ciò potrebbe influire essenzialmente sull'intera internet (cioè tutti i clienti online sono clienti), e la mia domanda afferma esplicitamente che semplicemente contattare lo "sviluppatore" (la risposta accettata per la domanda collegata) non sembra il miglior primo passo per me. / p>
Modifica 2: sono entrato in contatto con alcune persone e mi hanno consigliato di evitare di parlare ulteriormente su questo forum (scusate ragazzi!). Aggiornerò questa domanda più tardi, dopo che la vulnerabilità è stata completamente risolta e tutti i certificati non corretti sono stati revocati.
Modifica 3: i dettagli sono fuori. Ho pubblicato ulteriori informazioni su my sito personale sulle specifiche della vulnerabilità. La storia è ancora in corso e puoi leggere la discussione tra Mozilla , Google e CA WoSign.
Modifica 4: Come promesso, sto aggiornando con un link a un articolo scritto da Ars Technica riguardante questo e altri incidenti che coinvolgono WoSign. Sembra che WoSign e StartCom (ora di proprietà della stessa azienda) potrebbero essere in serio pericolo di revoca della root.