Perché Google sta ancora utilizzando un certificato sha1 sul proprio sito quando lo eliminano gradualmente in Chrome?

69

Gli strumenti di sviluppo di Firefox mostrano che il collegamento sta utilizzando un certificato firmato con SHA1. Perché Google sta facendo questo quando stanno eliminando gradualmente il certificato?

Non dovrebbe questo solo danneggiare la reputazione e gli interessi di Google?

    
posta sgoblin 11.06.2015 - 22:08
fonte

3 risposte

105

Questo potrebbe essere il caso di "fai quello che dico, non quello che faccio". Tieni presente che Chrome si lamenta dell'utilizzo di SHA-1 per la firma di certificati la cui validità si estende oltre la fine dell'anno 2015. In questo caso, il certificato di Google ha vita breve (in questo momento, il certificato che utilizzano è stato emesso il 3 giugno 2015 e scadrà il 31 agosto 2015) e quindi elude l'anatema di Chrome su SHA-1.

L'utilizzo di certificati a vita breve è una buona idea, perché consente molta flessibilità. Ad esempio, Google può fare a meno di usare SHA-1 (nonostante la rigorosa posizione di Chrome) perché gli algoritmi utilizzati per garantire l'integrità di un certificato non devono necessariamente essere robusti oltre la scadenza del certificato; quindi, possono usare SHA-1 per i certificati che vivono per tre mesi purché credano che riceveranno almeno un preavviso di tre mesi quando i browser decidono che SHA-1 è definitivamente e definitivamente uno strumento del Demone, per essere sparato a vista.

La mia ipotesi sul motivo per cui usano ancora SHA-1 è che vogliono interagire con alcuni sistemi esistenti e browser che non supportano ancora SHA-256. Oltre ai sistemi Windows XP pre-SP3 (che dovrebbero essere rimossi da Internet ASAP), ci si può aspettare che ci sia ancora un certo numero di firewall esistenti e altri sistemi di rilevamento delle intrusioni che hanno problemi con SHA-256. Utilizzando un certificato alimentato da SHA-256, Google potrebbe correre il rischio di rendere il proprio sito "danneggiato" per alcuni clienti, non per colpa di Google, ma i clienti non sono sempre corretti nelle loro imprecazioni.

Quindi la strategia di Google sembra essere la seguente:

  • Configura Chrome per urlare e lamentarsi quando vede un certificato SHA-1 che si estende fino al 2016 o più tardi.
  • A causa di tutti gli avvertimenti spaventosi, gli utenti dei server SSL esistenti (non di Google) iniziano a disertare (ad esempio non completano le loro transazioni bancarie online perché temono), costringendo gli amministratori dei server ad acquistare certificati SHA-256 .
  • Ora questi nuovi certificati "interrompono" questi siti agli occhi dei poveri che devono vivere con browser o firewall obsoleti. Questo dovrebbe costringere le persone ad aggiornare questi browser e firewall.
  • Nel frattempo, la reputazione di Google non viene danneggiata, perché il loro sito non attiva mai alcun avviso o ha rotto un vecchio firewall - poiché utilizza ancora SHA-1!
  • Quando tutto il mondo è passato a SHA-256 e tutti i firewall sono stati aggiornati, il percorso diventa chiaro per Google e possono utilizzare SHA-256 per i loro nuovi certificati.

È una strategia abbastanza intelligente (e alquanto malvagia), se riescono a farcela (e, essendo Google Google, credo che possano farlo).

    
risposta data 11.06.2015 - 22:39
fonte
19

Meta-risposta / commento.

Re. Risposta di Thomas:
Ho appena eseguito un SSL Labs esegue la scansione su un server Google.com e sembra che il certificato di entità finale sia effettivamente SHA256withRSA . Ma il (singolo) intermedio è solo SHA1withRSA . Non ho idea del perché.

Cattura schermo:

    
risposta data 12.06.2015 - 09:07
fonte
5

Come notato da StackzOfZtuff, la firma SHA1 si trova nella CA intermedia di lunga durata1 «Google Internet Authority G2».

Questa coppia di chiavi è memorizzata in un modulo di sicurezza hardware certificato FIPS 140-2 Level 3, dove è stato generato.² L'HSM stesso è in grado di firmare utilizzando SHA1, SHA-256, SHA-384 o SHA-512.³

Tuttavia, la firma per il certificato HSM è stata fatta da GeoTrust - presumibilmente nell'aprile 2013-, usando il loro   GeoTrust Global CA root, quando era comune utilizzare le firme SHA-1. Sarebbe possibile sostituire quella firma con uno SHA256 firmando la radice SHA256 e sostituendo il certificato inviato dal server, ma non è stato fatto.

Si noti che se un utente malintenzionato fosse in grado di creare una chiave SHA-1 in collisione con Google Internet Authority, la vecchia firma funzionerebbe ancora, ⁴ quindi la chiave CA intermediaria dovrebbe essere revocata, quindi potrebbe esserci poco interesse per quel percorso di cross-signing, in attesa invece della sostituzione HSM, che presumo sia programmato per essere eseguito entro i prossimi 12 mesi.

¹ 05/04/2013 15:15:55 al 31/12/2016 23:59:59 GMT

² link sezione 6.1.1

³ Per appendice B

⁴ Sebbene tutte le radici di firma SHA-1 debbano essere revocate quando ciò diventa fattibile ...

    
risposta data 15.06.2015 - 11:07
fonte

Leggi altre domande sui tag