Domanda:
Should I trust a website which uses a SHA-1 HTTPS certificate?
user1
2016-05-26 14:08:01 UTC
view on stackexchange narkive permalink

Mi trovo su un sito web in cui devo pagare qualcosa. Questo sito Web presenta il seguente avviso in alto a sinistra:

enter image description here

Questo sito utilizza una configurazione di sicurezza debole (firme SHA-1 ) quindi la tua connessione potrebbe non essere privata

Devo andare avanti e inserire i dati della mia carta e pagare qualcosa su questo sito?

Quali sono i rischi per la sicurezza?

Informazioni aggiuntive:

Sto utilizzando Google Chrome su una macchina Windows 10.

In Internet Explorer ricevo il seguente messaggio:

enter image description here

Si legge come qualcuno che ha davvero bisogno di XP per funzionare (amministratore del server).
Cinque risposte:
Philipp
2016-05-26 14:36:39 UTC
view on stackexchange narkive permalink

È un brutto segno, ma è ancora molto improbabile che la connessione venga intercettata.

Il sito web sembra avere un certificato valido firmato da un'autorità di certificazione, ma è firmato con un debole e algoritmo hash obsoleto.

Cosa significa?

Significa che la connessione è crittografata e un intercettatore passivo non può ancora ascoltare. Ma un aggressore determinato con accesso a molta potenza di elaborazione potrebbe generare un falso certificato per questo sito Web e utilizzarlo per impersonare il sito Web. Quindi è possibile che tu non sia effettivamente sul sito web che pensi di essere ma sei invece su uno controllato da un hacker. Ma un tale attacco richiederebbe molte risorse e inoltre richiederebbe di avere il controllo di un router tra te e il sito web.

Ma anche quando presumiamo che non sia in corso alcun attacco, dovremmo mantenere bada che impressione fa. SHA-1 è obsoleto da un po 'di tempo ormai. Quando gli amministratori di quel sito ancora non si preoccupano di aggiornare, è un brutto segno per la loro competenza generale. potrebbe significare che sono anche piuttosto permissivi riguardo ad altri aspetti della sicurezza del loro sito web. La decisione finale sulle informazioni che fornisci loro è tua.

Quindi questo significa che il certificato debole è vulnerabile solo a un attacco "Man in the middle"?Quindi, se potessi garantire che ero su una rete sicura, questo algoritmo di hashing debole non dovrebbe essere un problema?
@user1 Non è solo la tua rete che conta, ma anche la loro rete e qualsiasi rete in mezzo.Ma come ho detto, un attacco è molto improbabile perché la generazione di un certificato che corrisponde a un determinato hash SHA-1 richiede ancora molta potenza di elaborazione.
@user1 Per quanto riguarda la potenza di elaborazione necessaria: c'è [un'analisi di Jesse Walker] (https://www.schneier.com/blog/archives/2012/10/when_will_we_se.html) che è stata approvata da [Bruce Schneier] (https://www.schneierfacts.com/).
@Phillipp Wow, grazie.Questo dimostra davvero il piccolo rischio.- Visualizzazione del costo stimato come: "29 * 28,4 = 217,4 ~ $ 173.000 entro il 2018"
@user1 Vale la pena notare che questo calcolo dei costi coinvolge AWS, che è molto più costoso del necessario.Un criminale determinato probabilmente non utilizzerebbe AWS, ma piuttosto botnet o server rig personalizzati (probabilmente utilizzando GPU), che sono entrambi molto più economici e più difficili da collegare a centinaia di migliaia di dollari di tempo di elaborazione nel cloud pubblico.Come affermato, è un calcolo in fondo alla busta e probabilmente molto più vicino a un caso peggiore per gli aggressori che a un caso migliore.
Tuttavia, vale anche la pena notare che il calcolo dei costi è per un semplice attacco di collisione.Questo sta generando due file di spazzatura casuale con lo stesso hash sha1.Creare un certificato fasullo utilizzando i punti deboli della funzione hash non è così semplice.Richiede un attacco di collisione "prefisso scelto distinto" (più difficile di un attacco di collisione di base) * e * una CA con cattive pratiche di emissione.Un attacco preimage eliminerebbe la necessità della CA con cattive pratiche di rilascio, ma gli attacchi preimage sono molto più difficili degli attacchi di collisione.
Se avessero così tanto computer non genererebbero solo alcune monete?
@Dave Se fossero stupidi, potrebbero.Non è più possibile generare in modo redditizio BitCoin con qualcosa di diverso dagli ASIC (Application Specific Integrated Circuits), e non lo è da alcuni anni.
@user1 Non esiste una rete "sicura" a meno che non si esegua il peering con tale azienda tramite un collegamento diretto.
@Navin e nemmeno questo è sicuro
@HopelessN00b, d'altra parte, presume che la legge di Moore continui, il che è un caso migliore.
Pensavo che l'intercettazione SHA-1 potesse essere eseguita anche su un sito Web ad alta sicurezza se il tuo browser lo espone?Tramite un attacco MitM?
@HopelessN00b non è stato redditizio se paghi per il potere.Botnet e malware non pagano per il potere che usano.
un gruppo di ricercatori ha violato il sito delle carriere della NASA che utilizzava SHA-1, ci sono voluti $ 100 di credito AWS
@JamesLu Potreste fornire una fonte?Sono abbastanza sicuro che stai confondendo le cose qui, perché ci sono molte applicazioni per SHA-1 oltre alle firme dei certificati e per alcune di esse, come il cracking di hash di password deboli, un costo di $ 100 non è affatto inverosimile.
coteyr
2016-05-26 21:11:24 UTC
view on stackexchange narkive permalink

Come altri hanno già detto, tecnicamente il rischio è minimo per un attacco MiM. Tuttavia questo ha un problema e un'implicazione più grandi.

Devo andare avanti e inserire i dettagli della mia carta e pagare qualcosa su questo sito?

NO, NON DEVI USARE QUESTO SITO PER UNA TRANSAZIONE CON CARTA

Il problema SSL è, come affermato da altri, relativamente minore, tuttavia, l'utilizzo di un hash SHA-1 significa due cose molto importanti.

  1. Non hanno seguito PCI DSS Migliori pratiche. L'uso di SHA-1 nella firma dei certificati o nella crittografia autonoma non è consigliato e deve essere fatta un'eccezione durante una scansione AVS (Automated Vulnerability Scan). Ciò significa che, l'ultima volta che hanno eseguito una scansione PCI, hanno dovuto fare di tutto per passare perché non stavano seguendo una best practice. Gli hash SHA-1 possono essere utilizzati solo in alcune circostanze e solo per supportare configurazioni legacy. Devi sempre supportare un altro hash. Poiché utilizzi Windows 10, supporti gli hash più recenti, non lo sono.
  2. Se non possono preoccuparsi di eseguire questa certificazione molto semplice, facile e richiesta, semplicemente non si preoccupano abbastanza della sicurezza della tua carta di credito per fidarti di loro.

Note importanti:

  • Aiuto sempre i clienti con la conformità PCI. È abbastanza semplice e diretto. Ci vuole "un po 'di tempo", ma è un investimento molto piccolo se intendi gestire le carte. (forse 2-3 giorni con 1-2 ore al giorno, dopo una grande spinta di 4 ore il primo giorno, la prima volta, che è principalmente leggere le regole, per il livello più basso di conformità PCI)
  • L'adesivo di conformità PCI non è in alcun modo un'etichetta "Non sono hackerabile". Significa solo che hai fatto una serie minima di cose per tentare di proteggere i dati della carta. Per molti versi non è nemmeno "abbastanza", è più un punto di partenza.
  • Esistono diversi livelli di compiacenza PCI, ma i livelli più bassi (per i siti che cedono la transazione a terzi come Paypal per eseguire l'effettiva raccolta ed elaborazione dei dati) non possono utilizzare un certificato SSL SHA-1 se stesso.
  • Tutti i gateway di pagamento (come PayPal) di cui sono a conoscenza e che consentono di trasmettere i dettagli della transazione (non solo un pulsante Acquista ora) devono essere conformi allo standard PCI al livello più basso.

Nota quando si scrive questa risposta e con i commenti, è necessario apportare modifiche significative alla risposta. In breve, l'uso degli hash SHA-1 in un ambiente conforme allo standard PCI è molto oscuro e si basa su una rete di regole diverse per consentirlo. Sebbene non sia attualmente vietato nelle attuali configurazioni PCI-DSS, lo sarà presto. Attualmente è consentito solo tramite una combinazione di clausole intese a supportare configurazioni di client (browser) dispari / vecchi. In particolare le clausole "Older SSL" che consentono configurazioni SSL non sicure con altri mezzi di sicurezza al fine di supportare browser meno recenti (si pensi a IE6). Questa risposta è cambiata molto per riflettere questo. Le note seguenti sono dalla risposta originale, ma mostra, IMO, un processo importante.

Nota Dopo alcune ricerche questa risposta, basata principalmente sul fatto che non si sono presi la briga di fare l'audit PCI, è in gran parte sbagliata . Avrebbero potuto completare l'audit PCI. Detto questo, l'idea generale è ancora vera. Se hanno "aggirato" il problema SHA-1 invece di limitarsi ad aggiornare a "qualcos'altro", allora la mia opinione è valida. Tieni presente che consentire SHA-1 dovrebbe essere per sistemi "obsoleti, vecchi e legacy" e non come pratica continua. Ora (oggi) devi avere un piano di migrazione in atto anche per superare l'audit.

Altre note Dovrò affrontare questo e ripulire questa risposta, ma secondo "i documenti" ci sono alcune regole generali. I primi siti meno recenti possono ancora offrire SHA1 come opzione di crittografia o firma, ma solo se sono disponibili anche altre opzioni più potenti. I nuovi siti non possono offrire SHA-1 affatto. Tutti i siti che utilizzano SHA-1 devono disporre di un piano di migrazione. (AVS dovrebbe fallire automaticamente, ma puoi ottenere un'eccezione). Infine c'è una chiara data limite per SHA-1 (sebbene possa essere spostata, ancora una volta)

Il documento PCI collegato qui è per i terminali POS, piuttosto che per le transazioni del sito Web, che hanno requisiti di sicurezza leggermente superiori.Attualmente, c'è ancora un'eccezione per SHA-1 da utilizzare per le firme dei certificati TLS nello standard PCI DSS, per qualche motivo, anche se spero che sia stato rimosso nella prossima revisione.Questa eccezione non si applica ai terminali fisici, per una buona ragione!
Errore mio, so che viene sempre contrassegnato come non consentito (è attivato per impostazione predefinita in Apache med_ssl) fammi vedere se riesco a trovare della documentazione.
Ammetto un po 'di confusione qui.Sembra che mentre gli hash SHA-1 sono consentiti in alcuni contesti non è una best practice, e quindi viene sempre contrassegnato (per me con le mie impostazioni).È comunque possibile utilizzare SHA-1 in alcune circostanze.
Sì, certamente non è l'ideale, ma in questo caso, non è un fallimento automatico - non è poi così grave come l'esposizione di dati PAN o simili
Quindi sembra che a partire dalla revisione corrente, tu possa usare SHA-1 solo se hai un piano di migrazione in atto E i tuoi certificati scadono prima di giugno 2017. Se i tuoi certificati scadono dopo giugno 2017 non sei autorizzato a usare SHA-1affatto.Per impostazione predefinita, l'utilizzo del certificato firmato SHA-1 è un errore automatico (dell'AVS) ma sono consentite eccezioni, a meno che non sia l'unica opzione disponibile.Bah è tutto complicato senza motivo.
È tutto molto confuso.Dalla v3.2 del PCI DSS, i certificati SHA-1 non sono specificamente esclusi, ma l'implicazione è che rientrano nella categoria "SSL / TLS iniziale".Tuttavia, è perfettamente possibile utilizzare TLSv1.2 con un certificato firmato con SHA-1, nel qual caso l'identità del certificato potrebbe essere sospetta, ma la crittografia fornita sarebbe forte (ad es. Solo la persona che l'ha generato potrebbe decodificare i daticrittografato con esso, ma non puoi provare chi lo ha generato in sicurezza).Questo è diverso dallo standard POI, che menziona specificamente gli algoritmi di firma.
Invece di avere note sull'incorrettezza della tua dichiarazione originale sparse nella tua risposta, ti preghiamo di aggiornare la tua risposta all'ingrosso e correggere direttamente le affermazioni errate.
Matthew
2016-05-26 14:40:23 UTC
view on stackexchange narkive permalink

Significa che il certificato utilizzato dal sito utilizza un algoritmo di firma obsoleto per confermare l'identità del certificato. Google ha preso di mira in modo aggressivo le firme SHA-1 per i certificati del sito per un paio di anni, poiché ci sono alcuni attacchi teorici che potrebbero portare a un certificato fraudolento con una firma valida, sebbene non ci siano prove che ciò accada in natura. Inoltre, il metodo di attacco richiederebbe uno sforzo significativo ed è improbabile che sia redditizio per qualcosa di diverso da obiettivi di valore davvero elevato.

Il motivo principale degli avvisi è incoraggiare i proprietari di siti web ad aggiornare a più sicuri metodi di firma, che di solito sono disponibili gratuitamente oa basso costo dai loro fornitori di certificati, ma offrono una protezione a lungo termine con il miglioramento della tecnologia informatica: questo processo ha richiesto 16 anni nel caso di MD5, il predecessore di SHA-1. Il certificato in sé non è più debole di qualsiasi altro: infatti, è tecnicamente possibile che un singolo certificato venga firmato con entrambi i metodi SHA-1 e SHA-256. Potrebbero esserci altri punti deboli nel certificato, ma non è possibile vedere dagli screenshot forniti.

Nel complesso, suggerisce un approccio leggermente scadente alla sicurezza del sito, ma non significa di per sé che la tua carta è probabile che i dettagli vengano rubati durante il trasporto. Potrebbe valere la pena contattare l'azienda segnalando questo errore e suggerendo di aggiornare il certificato, soprattutto se è necessario effettuare acquisti da lì regolarmente.

Inoltre, vedere https://konklone.com / post / why-google-is-hurrying-the-web-to-kill-sha-1 for some more details on this.

"In the wild" è un qualificatore necessario?Esistono prove note di ciò che sta accadendo al di fuori della natura, per così dire?
Ci sono state voci infondate, ma niente di concreto: per sua natura, qualsiasi attacco del genere sarebbe molto riservato.Per quanto ne so, la NSA ha una configurazione che rende falsi certificati in poche ore, ma lo considero improbabile!
OK, quindi immagino che la domanda sia: la gente comune ha davvero bisogno di preoccuparsi di questo in situazioni normali?Non è come l'MD5 in cui è stato effettivamente dimostrato un attacco, e non è che tutti siano preoccupati per la NSA con * ogni * singolo sito web che visitano.Se StackOverflow usasse SHA-1, * tutti * dovrebbero dare di matto se l'NSA avesse rotto SHA-1 e potesse vedere cosa stavano facendo su StackOverflow?Tipo, siamo onesti: non proprio.Forse lo 0,01% degli utenti impazzirà per qualche motivo, ma per il resto?Vorrei anche * sperare * che sprechino le loro risorse per me ...
... e SHA-1 sarebbe sufficiente in quel caso.Se il mio vicino potesse rompere SHA-1 in una settimana e vedere le mie credenziali di accesso, * forse * potrebbe importarmene.Ma in realtà, se l'unica minaccia è un'organizzazione enorme come la NSA, SHA-1 è abbastanza buono e non ha bisogno di essere bandito ...
Esattamente.È improbabile che il certificato significhi che i dati verranno rubati durante il transito, ma la possibilità esiste, ma è molto più probabile che un sito che non lo ha aggiornato non abbia aggiornato anche altre funzionalità, il che potrebbe causare problemi - utilizzando SHA-1l'hashing per le password, ad esempio, che è completamente inaccettabile.
@mehrdad Non proprio, secondo il tuo secondo commento.È stato deprecato per garantire che sia completamente rimosso prima che i tuoi vicini possano eseguire questi attacchi.Questo processo richiede molto tempo, quindi è bene avviarlo prima che qualsiasi problema sia facile da sfruttare, quindi nel momento in cui l'exploit diventa banale, nessuno sta usando il sistema difettoso.
Deprecato, certo - non ho problemi con il vecchio approccio di retrocedere le loro icone a qualcosa di diverso dal verde "sicuro".Ma contrassegnarli in modo aggressivo con * rosso * come meno sicuri del normale HTTP sembra semplicemente disonesto quando non sappiamo nemmeno con certezza che un singolo caso di SHA-1 sia mai stato interrotto, per non parlare di uno in natura...
Hai scritto * "infatti, è tecnicamente possibile che un singolo certificato venga firmato con entrambi i metodi SHA-1 e SHA-256" *.Eh?Come mai?Stiamo parlando di certificati x509?Possono avere solo un tag hash / firma, giusto?
Engineer
2016-05-27 09:21:55 UTC
view on stackexchange narkive permalink

Altri hanno notato i problemi nell'ottenere le informazioni della scheda sul sito, ma devi anche pensare a come gestiscono tali informazioni internamente. Una volta ho lavorato in una dotcom che memorizzava le informazioni della carta di credito nel nostro database in testo normale. Chiunque abbia accesso alle informazioni sui clienti potrebbe vederli.
La certificazione pigra è solo la punta dell'iceberg, IMO.

benJephunneh
2016-05-30 09:02:17 UTC
view on stackexchange narkive permalink

Oltre al normale tipo di paranoia di Philip Dick che ti dice che nulla è come sembra - mai - non c'è nulla che possa essere dedotto dal semplice vedere che Chrome ti ha avvisato che un sito utilizza SHA-1 per la firma del certificato . Google ha detto che lo avrebbero fatto nel 2014. Potresti essere su Amazon.com, utilizzando Chrome. Il fatto è che se Amazon non ha iniziato a crittografare le firme dei propri certificati utilizzando SHA-2, Chrome lancerà un avviso.

Potrebbe esserci una ragione per il voto negativo?Qualcosa non va?


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...