¿Puede un certificado de solo CN omitir una restricción de nombre si la entidad de certificación se desvía?

3

Estoy tratando de certificar de forma cruzada un certificado de emisor interno, agregando una restricción de nombre para nuestro dominio.

Sin embargo, parece que un atacante podría pasar por alto esta protección al colocar el nombre de host deseado en un atributo CN del sujeto, y no agregar una extensión de nombre alternativo del sujeto. El escenario es un operador para nuestra CA interna que se deshace y crea certificados ilegítimos para ejecutar ataques MITM.

En resumen, parece que la restricción de nombre es inútil, a menos que contenga una restricción de nombre de directorio hasta un CN para un host específico (en cuyo caso, es seguro, pero sigue siendo inútil).

¿Este ataque funcionaría en la práctica? ¿Los navegadores toman medidas para evitarlo?

    
pregunta erickson 09.03.2016 - 19:47
fuente

2 respuestas

5

La postura "oficial" de X.509 en la CA deshonesta es que la CA deshonesta está fuera del alcance de X.509. Se necesita un poco de esfuerzo para aceptar que ... La idea es que toda la estructura de la AC no se trata realmente de prevenir los ataques, sino de poder señalar a los culpables. Si una CA se vuelve maliciosa, entonces la cadena de certificados fraudulentos permitirá identificar qué CA se equivocó y, por lo tanto, culpar directamente a quien se debe.

La mayoría de los navegadores tratan el problema de las restricciones de nombre al no admitir restricciones de nombre, lo que significa que tratar de restringir una CA de un dominio específico es, por ahora, una búsqueda de tontos.

Si el soporte de las restricciones de nombre estaba muy extendido, entonces podría restringir que una sub-CA emita SSL / TLS para un dominio específico agregando restricciones de nombre que obligan al DN del sujeto a un prefijo que define el CN a un Valor que no puede ser un FQDN para una máquina. Por lo tanto, cualquier certificado "compatible con SSL" necesitaría necesariamente una extensión SAN, evitando así el problema al que alude. Pero esto todavía hace suposiciones sobre el comportamiento de las implementaciones que encuentran un certificado cuyo DN de sujeto contiene múltiples campos "CN"; si la SAN restringe el DN a "CN = INVALID FOR DOMAIN", y la sub-CA no autorizada emite un certificado, como DN: "CN = INVALID FOR DOMAIN, CN = www.google.com", ¿cómo reaccionará el software del cliente? ?

Para resumir, las restricciones de nombre no funcionan bien o no funcionan en absoluto en la práctica, por falta de soporte generalizado, pero incluso si fueran compatibles, el hecho de que funcionen en realidad seguirá siendo un juego exitoso.

    
respondido por el Tom Leek 09.03.2016 - 20:01
fuente
2

Me gustaría ampliar el excelente primer párrafo de Tom Leek en el que dijo:

  

La postura "oficial" de X.509 en la CA deshonesta es que la CA deshonesta está fuera del alcance de X.509. Se necesita un poco de esfuerzo para aceptar que ...

Todo el ecosistema de la AC se basa en la idea de que la CA raíz en una cadena es absolutamente confiable, por lo tanto, el Certificado Autoridad . ¡No cuestiona una autoridad!

Al colocar un certificado raíz en su almacén de confianza usted está diciendo "Creo que esos tipos son confiables y confiables y nunca emitirán un certificado fraudulento". Si una CA intermedia es atrapada emitiendo certificados fraudulentos, (esperamos) que la CA raíz sobre ellos revoque su certificado, haciendo que todos los certificados que hayan emitido se conviertan en inválidos instantáneamente, permitiendo a los administradores comenzar la limpieza y la reemisión de certificados válidos . Si alguna vez se descubre que una CA raíz emite certificados fraudulentos, su confianza pública desaparecerá, se eliminarán de los navegadores, perderán a todos sus clientes y quedarán fuera del negocio, casi durante la noche (consulte: DigiNotar ).

Para bien o para mal, todo el sistema depende de la confianza de que las AC públicas actúen de buena fe por temor a la quiebra si las detectan (y con la cantidad de auditorías que deben pasar, esperamos que lo hagan). be).

Como dijo Tom,

  

Se necesita un poco de esfuerzo para aceptar que ...

    
respondido por el Mike Ounsworth 09.03.2016 - 23:10
fuente