Mi sono imbattuto in un'enorme vulnerabilità di sicurezza in un'autorità di certificazione considerata attendibile da tutti i browser e computer moderni.
In particolare, sono in grado di ottenere un certificato firmato valido per un dominio che non possiedo . Se avessi i mezzi per diventare un uomo in mezzo, sarei in grado di presentare un certificato SSL perfettamente valido.
Questa vulnerabilità non richiedeva da parte mia iniezioni SQL o codifica. In senso figurato mi sono imbattuto in esso.
Qual è il modo corretto per segnalarlo? Voglio essere etico e riferirlo all'AC incriminato, ma non voglio nemmeno che risolva semplicemente la vulnerabilità e poi spazzi tutto sotto il tappeto. Questo problema sembra esistere da un po 'e semplicemente non sono abbastanza intelligente da essere l'unico in grado di trovarlo.
Temo che il solo contatto con la CA provochi il panico la loro parte e loro, temendo un incidente simile a DigiNotar, faranno di tutto per impedire al pubblico di scoprirlo.
Mi è consentito contattare anche alcuni importanti attori, come altre autorità di certificazione o altri siti come come CloudFlare o Google? (So che CloudFlare è stato avvisato di HeartBleed prima che venisse pubblicato l'annuncio pubblico.)
Nota: sto postando con un account pseudonimo per (provare a) rimanere anonimo per ora.
Modifica: questa domanda è correlata a un'altra domanda, ma ritengo che questa vulnerabilità non rientri nell'ambito di tale domanda. Ciò potrebbe interessare essenzialmente l'intera Internet (ovvero tutti gli utenti online sono clienti) e la mia domanda afferma esplicitamente che il semplice contatto con lo "sviluppatore" (la risposta accettata per la domanda collegata) non mi sembra il miglior primo passo.
Modifica 2: sono entrato in contatto con alcune persone e mi hanno consigliato di evitare di parlare ulteriormente su questo forum (scusate ragazzi!). Aggiornerò questa domanda più tardi, dopo che la vulnerabilità è stata completamente risolta e tutti i certificati errati revocati.
Modifica 3: i dettagli sono disponibili. Ho pubblicato ulteriori informazioni sul mio sito personale sulle specifiche della vulnerabilità. La storia è ancora in corso e puoi leggere la discussione tra Mozilla, Google e CA WoSign.
Modifica 4: come promesso, sto aggiornando con un link a un articolo scritto da Ars Technica riguardante questo e altri incidenti che coinvolgono WoSign. Sembra che WoSign e StartCom (ora di proprietà della stessa azienda) possano essere in serio pericolo di revoca del root.