Назад | Перейти на главную страницу

Атаки на альтернативное имя субъекта SSL и человек посередине

Моя компания "наша компания" владеет доменным именем DNS второго уровня: ourcompany.org. В настоящее время мы используем этот домен, а также www.ourcompany.org и feature1.ourcompany.org, и иметь сертификат SSL, созданный для обоих этих доменов 3-го уровня.

Затем мы подписались на стороннюю службу, размещенную по адресу ourcompany.thirdparty.org. Они обрабатывают SSL и имеют сертификат, тема которого thirdparty.org и иметь альтернативное имя субъекта *.thirdparty.org.

Эта сторонняя компания также предоставляет возможность добавить собственный домен. Итак, мы добавили запись CNAME в нашу конфигурацию DNS, и теперь у нас есть feature2.ourcompany.org указывает на ourcompany.thirdparty.org. Очевидно, что на этом этапе SSL не работает при доступе feature2.ourcompany.org.

Затем сторонняя компания также попросила нас разместить записи DNS TXT, чтобы доказать, что мы являемся владельцами домена, и они каким-то образом смогли обновить свой сертификат SSL и добавить следующие альтернативные имена субъектов: ourcompany.org и *.ourcompany.org.

Как это не потенциальный источник атаки «Человек посередине»? (сторонняя компания теперь может выдавать себя за нас в любом из наших доменов)
Как может произвольная сторонняя компания сгенерировать действительные сертификаты SSL, включая SAN, указывающие на домен, которым она не владеет? (их SAN включает намного больше вещей, чем добавленная нами запись домена CNAME)
Разрешил ли центр сертификации использовать наши домены в качестве SAN из-за записи CNAME, указывающей на их домен (в этом случае, почему в SAN включено гораздо больше доменов, чем просто feature2.ourcompany.org) или из-за записи TXT (в этом случае может кто-нибудь указать мне на ресурс, объясняющий этот процесс)?

После просмотра нашей конфигурации DNS выяснилось, что центр сертификации проверил записи SAN в сертификате сторонней компании из-за одной из записей TXT, которые они попросили нас добавить: globalsign-domain-verification=XXXXXXX, где XXXXXXX - это ключ, предоставленный GlobalSign сторонней компании (документацию по этой функции GlobalSign трудно найти, но я мог бы найти кое-что Вот). Это отвечает на второй и третий вопросы.

Что касается 1-го, похоже, что запись TXT установлена на домен 2-го уровня, сторонняя компания теперь уполномочена включать домен 2-го уровня, а также любой домен 3-го уровня под ним в записи SAN своего сертификата.

сторонней компании, вероятно, потребуется проверка, чтобы доказать, что у вас есть доступ к домену (так же, как godaddy проверяет простые сертификаты ssl)

это делает не означают, что они имеют доступ к вашему доменному имени и / или могут захватить ваши домены. это также не означает, что они могут выполнять митм для соединений, установленных через ваш собственный сертификат. это просто отдельный сертификат, и когда вы укажете соответствующие записи DNS на их серверы, они выдадут сертификат. обработка большого количества сертификатов на одном хосте / адресе довольно проста, поскольку sni (указание имени сервера) довольно хорошо поддерживается сегодня.