Questo certificato SSL copre dozzine di siti tra cui raw.github.com, * .etsy.com, pypi.python.org, ecc. È sicuro? [duplicare]

4

On / r / programming, Daneel_Trevize e ho trovato un certificato SSL molto strano che sembra coprire tutti i seguenti aspetti:

a.ssl.fastly.net, *.a.ssl.fastly.net, fast.wistia.com, purge.fastly.net, mirrors.fastly.net, *.parsecdn.com, *.fastssl.net, voxer.com, www.voxer.com, *.firebase.com, sites.yammer.com, sites.staging.yammer.com, *.skimlinks.com, *.skimresources.com, cdn.thinglink.me, *.fitbit.com, *.hosts.fastly.net, control.fastly.net, *.wikia-inc.com, *.perfectaudience.com, *.wikia.com, f.cloud.github.com, *.digitalscirocco.net, *.etsy.com, *.etsystatic.com, *.addthis.com, *.addthiscdn.com, fast.wistia.net, raw.github.com, www.userfox.com, *.assets-yammer.com, *.staging.assets-yammer.com, assets.huggies-cdn.net, orbit.shazamid.com, about.jstor.org, *.global.ssl.fastly.net, web.voxer.com, pypi.python.org, *.12wbt.com, www.holderdeord.no, secured.indn.infolinks.com, play.vidyard.com, play-staging.vidyard.com, secure.img.wfrcdn.com, secure.img.josscdn.com, *.gocardless.com, widgets.pinterest.com, *.7digital.com, *.7static.com, p.datadoghq.com, new.mulberry.com, www.safariflow.com, cdn.contentful.com, tools.fastly.net, *.huevosbuenos.com, *.goodeggs.com, *.fastly.picmonkey.com, *.cdn.whipplehill.net, *.whipplehill.net, cdn.media34.whipplehill.net, cdn.media56.whipplehill.net, cdn.media78.whipplehill.net, cdn.media910.whipplehill.net, *.modcloth.com, *.disquscdn.com, *.jstor.org, *.dreamhost.com, www.flinto.com, *.chartbeat.com, *.hipmunk.com, content.beaverbrooks.co.uk, secure.common.csnstores.com, www.joinos.com, staging-mobile-collector.newrelic.com, *.modcloth.net, *.foursquare.com, *.shazam.com, *.4sqi.net, *.metacpan.org, *.fastly.com, wikia.com, fastly.com, *.gadventures.com, www.gadventures.com.au, www.gadventures.co.uk, kredo.com, cdn-tags.brainient.com, my.billspringapp.com, rvm.io

Da quello che posso dire, il certificato esiste perché DigiCert ha autorizzato FastNome CDN a rappresentare se stesso come tutti i siti di cui sopra. Stranamente, il certificato è stato trovato sul link anche se la CNN non è nell'elenco precedente.

Non riesco a capire come collegare direttamente al certificato, ma è attualmente disponibile dal link . Il suo numero di serie è 06: 28: 1D: 36: 75: B4: 1F: CC: B3: FF: 18: FA: EC: F8: FD: DF e la sua impronta digitale SHA1 è 98: 97: 03: 4D: AD: 78: 62: 48: 5A: 8E: 24: 67: ED: E8: 38: 21: 3E: E2: 4F. 47

Stiamo leggendo correttamente? In tal caso, è sicuro che questi siti condividano un certificato del genere?

    
posta David J. Harris 18.09.2016 - 17:24
fonte

1 risposta

0

Il motivo per cui il certificato non è valido per cnn.com è perché cnn.com non è nella lista, forse a causa di ritardi nell'elaborazione della registrazione della CNN per Fastly. Non è perché il certificato è stato revocato.

Vedo un enorme rischio per la sicurezza, e questo è se l'operatore CDN crea un accordo con un individuo non fidato.

Diciamo che Phisher crea un account con Fastly. Crea un dominio di phishing come lhglfglhggddlghd.com e fa gli accordi necessari con la CA per aggiungere il dominio al certificato di Fastly.

Quindi carica una pagina di login github phish sul CDN, e si ottiene un url come lhglfglhggddlghd.com/fe9f667fe9fe6f8ecd7a93332326768

Quindi invia un'e-mail di phish con: raw.github.com/fe9f667fe9fe6f8ecd7a93332326768

e il 100% delle persone cadranno nella trappola dato che sia il dominio che il certificato corrisponderanno e persino una persona prudente del computer penserà che sia autentica. (Si noti che i CDN utilizzano spesso anycast e devono ottimizzare i loro server, così spesso non implementano nemmeno alcun host: controllando, invece, danno a ogni risorsa un URL univoco)

Ma penso che abbiano mitigato il problema implementando un strong KYC prima di firmare qualcuno come cliente per Fastly. Ad esempio, solo le società ben controllate e buone che hanno bisogno di utilizzare Fastly come CDN saranno accettate come clienti.

    
risposta data 19.09.2016 - 06:28
fonte

Leggi altre domande sui tag