Otoritas sertifikat Brasil yang hanya dipercaya Microsoft menerbitkan sertifikat untuk google.com
(follow.agwa.name)-
Andrew Ayeragwa14h
- Otoritas sertifikat di Brasil dipercaya oleh Microsoft dan tampaknya menerbitkan sertifikat yang tidak disetujui untuk google.com. Hal ini dapat memungkinkan pencegatan lalu lintas menuju Google di Edge dan aplikasi Windows lainnya (kecuali Chrome dan Firefox). Microsoft mengetahui dengan baik riwayat masalah terkait otoritas sertifikat ini, telah menyampaikan kekhawatiran pada 2021, dan masalah tambahan juga diangkat dalam diskusi publik CCADB pada 2022. Semoga insiden ini memicu perubahan. Pengguna Windows berhak mendapatkan layanan yang lebih baik.
-
Andrew Ayeragwa12h
- Sebagai contoh ketidakmampuan otoritas sertifikat, keberadaan subjek sertifikat yang memuat nomor seri anak perusahaan Google bukan berarti sertifikat itu disetujui oleh Google. Otoritas sertifikat dapat memasukkan apa pun yang mereka inginkan ke dalam field tersebut, dan otoritas ini jelas tidak memverifikasi dengan benar isi yang dimasukkan ke dalam sertifikat.
-
Andrew Ayeragwa10h
- Proksi serangan man-in-the-middle di lingkungan perusahaan sangat berbahaya.
1 komentar
Komentar Hacker News
ICP-Brasil secara resmi menghentikan penerbitan sertifikat SSL/TLS publik pada Oktober: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
Ini cukup serius karena bukan hanya mengakali larangan penerbitan sertifikat publik, tetapi juga melanggar aturan CAA Google. Saya berharap otoritas sertifikat ini diblokir permanen di Microsoft OS
certlm.msc, sepertinya hotfix sudah didistribusikan, dan ICP Brasil tidak terlihat di otoritas sertifikat root tepercayaYang lebih buruk, ICP-Brasil yang disebut dalam laporan bug adalah lembaga yang dioperasikan pemerintah yang menangani urusan tanda tangan digital secara umum
Mereka terlibat dalam penandatanganan digital kontrak atau akta, bahkan akses ke laporan pajak
google.comakan menyelesaikannyaIni benar-benar terlihat buruk. Saya kira Chrome dan Firefox akan menghapus kepercayaan terhadap otoritas sertifikat ini, ternyata mereka memang sudah tidak memercayainya
Fakta bahwa Microsoft/Windows memercayai otoritas sertifikat yang tidak dipercaya oleh pemain besar lain tampak lebih buruk bagi Microsoft
Kemungkinan membaik dalam waktu dekat juga tampak kecil, dan arahnya masih tetap menurun
Dulu pada dasarnya tidak dipercaya secara default sehingga harus ditambahkan secara manual ke penyimpanan sertifikat, tetapi pemerintah Brasil bersikeras terus memakai otoritas sertifikat ini di situs web resmi
Microsoft tampak cukup longgar dalam memercayai otoritas sertifikat, keputusan penyertaannya juga tidak transparan, dan trust store-nya juga cukup besar
Situs web yang masuk akal hanya akan memakai sertifikat yang dipercaya browser, terutama Chrome, jadi manfaat dari otoritas sertifikat tambahan seperti ini tampak rendah
Saya bukan pengguna Windows, tetapi penasaran apakah ada cara memakai trust store Chrome di Windows/Edge. Daftar Microsoft rasanya sulit dipercaya
Saya tidak bermaksud membela MSFT, tetapi dari pengalaman penjualan OS ke pemerintah, tidak ada yang berada di level serupa dengan Microsoft. Saya cenderung berpikir MSFT meninjau penambahan otoritas sertifikat dengan hati-hati
Saya penasaran apakah Anda tahu DigiNotar, otoritas sertifikat yang disetujui pemerintah Belanda dan pernah diretas besar-besaran. Otoritas sertifikat itu diretas setelah sertifikat root-nya ditambahkan ke trust store sebagian besar browser dan OS, dan dipercaya luas. Kalau begitu, bisakah kita mengatakan MSFT memercayai otoritas sertifikat root DigiNotar secara “longgar”? Saya rasa Mozilla Firefox juga sulit dipandang begitu
Melihat kejadian seperti ini, saya bertanya-tanya mengapa sertifikat tidak juga ditandatangani oleh pemilik sertifikat
Saat ini otoritas sertifikat bisa menerbitkan sertifikat untuk kunci publik dan domain apa pun yang mereka mau, dan otoritas sertifikat tepercaya yang berniat jahat bisa mencegat semua lalu lintas
Jika sertifikat berisi bukan hanya tanda tangan otoritas sertifikat, tetapi juga tanda tangan dari pemilik kunci publik tersebut, rasanya otoritas sertifikat tidak akan punya kemampuan seperti ini. Apa yang saya lewatkan?
Otoritas sertifikat, atau penyerang yang menipu otoritas sertifikat lewat penipuan dunia nyata, bisa menjadi “pemilik” pasangan kunci yang dipakai untuk tanda tangan kedua
Ini tidak bisa ditangani hanya dengan memakai ulang infrastruktur PKI yang ada untuk root kepercayaan otoritas sertifikat. Kunci publik atau sertifikat mungkin bisa didistribusikan lewat DNS seperti DANE, tetapi itu bukan hal sederhana dan perlu persetujuan para pelaku lama di seluruh ekosistem
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
Saya menyukai arah besarnya, yaitu menambahkan kepercayaan terdesentralisasi dan dikelola sendiri di atas atau di samping PKI tersentralisasi yang ada untuk memperbaiki keadaan saat ini. Itu bisa menjadi batu loncatan menuju struktur yang lebih sistematis dan tangguh
Jika pemilik sertifikat sudah memiliki kunci publik terverifikasi untuk menandatangani sertifikat, maka otoritas sertifikat tidak diperlukan lagi
Saya penasaran mengapa Brasil bisa membuat Microsoft memercayai otoritas sertifikat negaranya. Misalnya Kazakhstan[1] tidak berhasil begitu
Solusi sederhananya adalah lembaga independen menyediakan klaim kepercayaan terhadap otoritas sertifikat, lalu pengguna menentukan apakah akan percaya dengan mempertimbangkan penilaian dari beberapa lembaga sekaligus
Mengejutkan bahwa belum ada struktur seperti ini padahal jalur serangannya begitu jelas
Apa pun skema PKI alternatif yang dibuat, tetap tidak akan bebas dari masalah ketika Microsoft membuat kesepakatan
Masalahnya ada di antara keyboard dan kursi. Pengguna saja sudah sulit memahami SSL. Browser menganggap perbedaan EV, DV, dan OV terlalu rumit, lalu menyembunyikannya
Bagaimana reaksi seorang nenek saat membuka situs bank, lalu plug-in browser menampilkan indikator kepercayaan hijau kekuningan karena sertifikatnya dipercaya oleh Google, Apple, dan Microsoft, tetapi tidak dipercaya oleh Mozilla?
Sayangnya, kepercayaan bersifat biner. Saat menekan bookmark bank, sang nenek akan melihat situs web bank, atau melihat peringatan yang menakutkan
Dari teks aslinya saja, sulit memastikan apakah kejadian ini adalah kesalahan atau disengaja
Sebab sudah pasti akan ketahuan, dan jelas akan memicu kontroversi yang mengancam fungsi yang mereka siapkan dengan biaya besar
google.comApakah ada skenario yang tidak berniat jahat?
Ini spekulasi, tetapi terdengar seperti kolusi yang disengaja atau paksaan antara pemerintah dan perusahaan besar
Misalnya, pemerintah Brasil menuntut Microsoft untuk mengizinkan akses serangan man-in-the-middle pada perangkat Windows sebagai imbalan atas hak beroperasi di negaranya
Pemerintah biasanya menjalankan rencana buruk secara diam-diam. Hal seperti ini terlalu sulit untuk lolos tanpa ketahuan, jadi bukan cara yang realistis. Fakta bahwa kita sedang membaca tulisan ini di HN adalah contohnya
Akan bagus jika ada orang yang punya daftar otoritas sertifikat milik negara atau terkait negara. Saya ingin membuang semuanya
Sulit menentukan otoritas sertifikat mana yang dioperasikan pemerintah atau berada di bawah kendali pemerintah. Dari namanya saja tidak selalu jelas, perusahaan swasta pun bisa beroperasi atas arahan pemerintah, dan secara hukum sebuah otoritas sertifikat mungkin wajib memenuhi permintaan pemerintah
Yang ada di sini semuanya adalah organisasi pemerintah atau militer yang sangat jelas mengoperasikan otoritas sertifikat, dan otoritas sertifikat Brasil yang disebut kali ini adalah yang kedua dalam daftar
[1] https://alexsci.com/blog/ca-trust/#government-control-of-cas