torsdag 29 april 2010

Köp SSL-cert till nån annans domän

I raden av "det går dåligt för SSL"-inlägg har vi nu kommit till ännu en CA-fadäs.

Kurt Seifried skriver i sin artikel Impersonating secure web servers -- Breach of Trust (pdf) om hur han har lyckats köpa äkta SSL-cert till flera leverantörer av e-post på nätet. Hur? Jo, flera CAs vill verkligen sälja många cert. Så de underlättar för kunden.

Att göra det lätt för kunden
Vad är jobbigast i att köpa ett cert? Ptja, kanske att generera nycklar och ett certificate signing request (CSR). Därför har CAs sett till att beskriva det steg för steg på sina sajter, t ex RapidSSLs beskrivning för Apache.

Sen då? Ja, det är väl att bevisa att man äger domänen i fråga eller åtminstone har rätt att köpa cert till den. Att faktiskt legitimera sig var nog tanken en gång i tiden men nu köper man cert på distans så en e-postadress till domänägaren får duga.

Ofta brukar det vara någon chef som står som registrator. Den publika informationen på Whois har i mångt och mycket försvunnit pga risken för spam så CAs har försökt komma på andra sätta att mejla domänägaren. webmaster@domänen.se borde väl duga? Och root@domänen.se. Och admin@domänen.se. Och ... ja, listan har blivit rätt lång för t ex RapidSSL:
  • admin@
  • administrator@
  • hostmaster@
  • info@
  • is@
  • it@
  • mis@
  • postmaster@
  • root@
  • ssladmin@
  • ssladministrator@
  • sslwebmaster@
  • sysadmin@
  • webmaster@
Håller e-postleverantörerna koll?
Nu kan man ju fråga sig om e-postleverantörerna på nätet har reserverat alla de här adresserna? Svaret är förstås nej. Kurt fick tag på ssladministrator@-adresser på:
  • Inbox.com
  • Excite
  • Lavabit
  • Mail2World
  • Ovi (Nokia)
... och då var det bara att köpa SSL-cert till de domänerna!

John är nu ssladmin@spray
Kul, tänkte jag, och registrerade mig snabbt som ssladmin@spray.se (ni når mig där numer :). Jag försökte köpa ett SSL-cert till spray.se* men RapidSSL hade skurit ner till betydligt färre tillåtna e-postadresser efter Kurts artikel. Dessutom kändes det lite dumt trots att min avsikt var att skänka certet till Spray tillsammans med lite upplysning.

Slutsatser
Så vad kan vi säga efter det här? Jo, att ...
  • CAs återigen visar sitt ointresse för säkerhet
  • Vi har inga globala identiteter på nätet och en e-postadress är ett dåligt substitut för det när det handlar om säkerhet
  • SSL fortsätter att ta stryk vilket borde skicka en varningssignal till alla som satsat allt på "Military grade encryption, 128 bit"

* Jag upptäckte sen att Spraymail inte kör https alls, inte ens på inloggningsformuläret. Tjena.

Inga kommentarer: