Aussehen
Suche Einloggen
[c] [meta] [fefe] [erp]

/c/ – Pufferüberlauf

Antwort erstellen

(≤ 4)



[Zurück]
  • [l] Falsch ausgestellte Zertifikate für SAN IP-Adresse: 1.1.1.1 CyberEffe [raute][raute] H4xPerte Thu, 04 Sep 2025 08:47:31 GMT Nr. 158837
    1755331314001.png
    PNG 1050×903 965.5k
    <https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/SgwC1QsEpvc

    >Dies ist ein öffentlicher Bericht über mehrere Zertifikate, die von Fina RDC 2020 ausgestellt wurden und offenbar fehlerhaft sind.
    >Diese Zertifikate enthalten den Subject Alternative Name (SAN) IP-Adresse: 1.1.1.1.
    >Die IP-Adresse 1.1.1.1 ist ein bekannter öffentlicher DNS-Resolver, der von Cloudflare in Zusammenarbeit mit APNIC betrieben wird.
    >Es ist höchst unwahrscheinlich, dass die Zertifikatsabonnenten die Kontrolle über diese IP-Adresse nachweisen konnten, wie es die Baseline Requirements des CA/Browser Forum verlangen.

    <Drei der entdeckten Zertifikate sind zum heutigen Tag, dem 3. September 2025, noch gültig.
  • [l] Felix Thu, 04 Sep 2025 09:04:44 GMT Nr. 158839
    Eigentlich sind IP-Adressen in TLS-Zertifikaten doch nicht mal erlaubt, oder irrt Felix sich da?
  • [l] Felix Thu, 04 Sep 2025 09:09:18 GMT Nr. 158840
    >>158839
    >Eigentlich sind IP-Adressen in TLS-Zertifikaten doch nicht mal erlaubt, oder irrt Felix sich da?
    Ja und nein.
    <https://letsencrypt.org/2025/07/01/issuing-our-first-ip-address-certificate

    In dem Fall oben und nach deiner Logik klar verboten. Die ausgestellten Certs für 1.1.1.1 sollten selbst im Ausnahmefall nicht länger gültig als 6 Tage sein. Wieso so etwas so spät auffällt? Keine Ahnung.

    Warum Firmen keine unit tests für ihre Certs haben ob in den CA-Logs und Transparenz-Berichten andere Nutznießer für ein Cert existieren. Keine Ahnung.

  • [l] Felix Thu, 04 Sep 2025 10:20:45 GMT Nr. 158841
    >This CA has never been part of the Mozilla Root Program
    Na immerhin etwas
  • [l] Felix Thu, 04 Sep 2025 11:38:44 GMT Nr. 158851
    FINA ist die staatliche kroatische Finanzagentur, die Zertifikate hauptsächlich für Banken, Versicherungen und Finanzdienstleister ausstellt. [0] Darum hat sich auch bisher keiner beschwert, dass die CA auf Linux und eingebetteten Geräten nicht vertraut wird, die nutzen ohnehin alle Windows.
    Im "besten" Fall hat der Praktikant aus Gründen ein Testzertifikat gegen die Produktions-CA rausgeorgelt (der CN test*.hr hat offenbar auch nie existiert), im schlimmsten Fall ist der Laden (stümperhaft) unterwandert.
    [0] https://crt.sh/?Identity=%25&iCAID=201916&exclude=expired
  • [l] Felix Thu, 04 Sep 2025 12:13:17 GMT Nr. 158852
    >>158851
    Du vergisst den ganz offensichtlichen Fall: Mitarbeiter wollte anderem Mitarbeiter zeigen, wie das mit den Zertifikaten funktioniert, und wollte zeigen, was passiert, wenn man Bogus-Daten eingibt ("Schau, die IP, die kontrollieren wir nicht, und das Datum bei einer IP-Adresse, das geht sowieso nicht durch!") - und hat dann nicht mitbekommen, dass das Zertifikat tatsächlich eben durchgekommen ist (oder war dann schon in Rente, als die "hey, cool, dein Zertifikat wurde angenommen"-Mail zurück kam).
  • [l] Felix Fri, 05 Sep 2025 08:56:52 GMT Nr. 158890
    Screenshot_20[…].png
    PNG 436×523 256.1k
    Stellungnahme:
    https://blog.cloudflare.com/unauthorized-issuance-of-certificates-for-1-1-1-1/

    Die Fehler die die CA hätte bemerken müssen:
    https://crt.sh/?id=14793030836&opt=pkimetal
[Zurück]
[c] [meta] [fefe] [erp]
Proudly made without PHP, Java, Perl, MySQL, Postgres, MongoDB and Node.js.
Quellcode