Heartbleed: questo scenario è possibile? quanto male sarebbe?

3

Facciamo le seguenti ipotesi:

  1. Un certificato radice attendibile è stato offerto con una versione vulnerabile di OpenSSL.
  2. Prima della divulgazione al pubblico, un'entità malintenzionata era a conoscenza e sfruttava la vulnerabilità di cuore
  3. Tale entità malintenzionata ha attaccato e ottenuto la chiave privata per il certificato radice
  4. Non ho una versione interessata di OpenSSL sul mio server, ma ho un certificato firmato dal certificato radice compromesso

Presumibilmente, a questo punto, la CA revocherà il proprio certificato di origine e tutti i certificati firmati dovranno essere nuovamente emessi, corretti? Una volta revocato il certificato di root, il potenziale di danno sarebbe limitato ai client che non aggiornavano il loro bundle radice attendibile, corretto?

E la scorsa settimana? Un certificato radice compromesso avrebbe permesso a un utente malintenzionato di creare un certificato per qualsiasi dominio, non solo uno che era stato firmato da quel certificato, giusto? Non ci sarebbero ulteriori vulnerabilità per il mio dominio perché il suo certificato è stato firmato dal certificato compromesso, giusto?

E, come bonus costituito da una speculazione completa, quanto pensi che sia probabile che questa vulnerabilità sia stata rilevata e sfruttata prima della divulgazione al pubblico?

    
posta Jason 10.04.2014 - 22:34
fonte

1 risposta

4

Sono due servizi diversi, che non sono correlati.

  1. Servizio di firma PK

    • Queste chiavi utilizzano i gioielli della corona della CA.
    • Sono protetti il più possibile.
    • Se vengono persi, saranno fuori dal mercato
    • Quindi utilizzano segmentazione di rete, firewalling, HSM, guardie armate, tutto ciò che serve per proteggerli.
  2. Sito Web SSL normale che utilizza una chiave firmata (probabilmente ma non necessariamente dal servizio precedente).

    • Impatto del compromesso - imbarazzante, danno alla reputazione ma non critico.

Quindi, "potevano" scegliere di combinare questi due servizi, usando la stessa chiave all'esterno del loro sito web, ma come dice @StephenTouset sopra, "Ci vorrebbe una quantità incredibile di incompetenza"

    
risposta data 10.04.2014 - 23:20
fonte

Leggi altre domande sui tag