Доверие к CA после MitM-а на jabber.ru/xmpp.ru
https://dxdt.ru/2023/11/01/11377/
http://stolyarov.info/node/404
https://mjg59.dreamwidth.org/66907.html
В
62233ed8f4fd2f9625cde5f3058b33eb36dc99b6 упоминал о нашумевшем
обнаруженном факте MitM-а на jabber.ru/xmpp.ru серверы. Я известный не
сторонник PKI и всего подобного, но даже я не говорю что Let's Encrypt
тут был чем-то виноват. Верно автор первой статьи замечает, что:
“система хорошо известных УЦ” и раньше должна бы “вызывать доверие”
равно в пределах разумной модели угроз, то есть – доверять ей можно
только в сугубо определённых, узких случаях
Преобладающая часть X.509 сертификатов в WWW это так называемые "DV"
(domain validated). Что они (или УЦ) аутентифицируют? То, что трафик до
заданного домена (до заданных resolved IP) идёт и автор имеет над ними
какой-то контроль. Это не исключает наличия влияния хостера/провайдера
или подмены DNS записей.
Много говорили что многое чего решает Certificate Transparency. А что он
решает? Ну вот благодаря нему мы увидели что были выпущены как-бы не
легитимные сертификаты MitM-ом. Обнаружили это. Дальше то что? Более
того, это обнаруживает сам CA и типа почти случайно, из-за протухшего
сертификата. Но конечный пользователь не предполагается что должен
лазать в CT журнал для проверок. Экосистема CT не дружелюбна к тому
чтобы у себя сделать полную синхронизацию локально -- я пробовал, они
официально не советуют это. А лазать в CT каждый раз -- значит сливать
данные о том, куда ты ходишь и что посещаешь. В итоге от наличия CT
конечному пользователю ни холодно, ни горячо, а владельцу домена
предлагают постоянно следить за журналами CT? Следить за костылём
априори ущербной задумки?
Где-то помогла бы DNSSEC-подписанная CAA-запись в CA, говорят. То есть
зависеть от ещё одной вообще централизованной PKI системы, чтобы хоть
как-то сделать получше? Тогда почему бы сразу в ней и не хранить
аутентифицирующую DV информацию в виде DANE записей? Но нет, форум
броузеров не принимает это решение. Да и невозможно требовать DNSSEC
наличия, ибо, насколько помню, даже не все корневые зоны его вообще
начали использовать, не говоря про крайне малое количество вообще
подписанных зон. Ну и я молчу про то, что тут вообще единственный якорь
доверия (полностью управляемый НАТО).
Вообще-то изначально PKI задумывался как нечто, куда приходят с кипой
документов, информация из которых прописывается в сертификате. И
Столяров в своей заметке верно говорит, что это означает что нам бы
приходилось ездить, грубо говоря, в США, чтобы получать EV-grade
сертификаты. Чего, очевидно, никто (ну кроме банков там и подобных
серьёзных организаций) делать не будет. Поэтому будут оставаться
DV-grade сертификаты. Поэтому MitM прекрасно даже на уровне хостера
будет возможен. Поэтому на кой чёрт все эти свистопляски с Let's Encrypt
и прочими DV-grade CA? Ну да, чтобы не нажимать лишний раз на кнопочку
"всё равно доверить данному сертификату". Но только не надо заливать и
бросаться словами про безопасность.