내부 호스팅을 위해 최근 발급된 디지털 인증서가 현재 오용 통합으로 금지된 것으로 확인되었으며, 다른 CA에서는 새 호스팅 서버를 발급하지 않고 심각한 버그가 있는 이전 호스팅 서버를 사용하고 있습니다.
[dropcap]씨[/dropcap]오모도는 월요일 현재 금지된 고급 인증의 발행을 촉발한 버그를 수정했다고 밝혔다. 다른 CA는 이 인증 기관 인증서를 발급하는 데 동일한 문제가 있을 수 있지만 보안 위반이 알려지지 않은 기관 중 일부는 여전히 포럼에서 동일한 구성 요소를 사용하고 있습니다. 호스팅 서버에서 정리해야 하는 것은 새 서버에서 관리에 의해 설정되었지만 다른 CA 중 일부는 이 새 서버에서 누락되지 않았습니다.
11월 1일에 발효된 CA/브라우저 포럼(CAB)의 새로운 지침에 따라 인증 기관(CA)은 내부 호스트 이름에 대해 새로운 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 인증서를 발급해서는 안 됩니다. Comodo는 원칙 변경에 대한 준비가 되어 있었지만 10월 30일 CAB 포럼의 게시물에서 수석 혁신 작업 연구원인 Rob Stradling이 작성한 발행 프레임워크에 “눈에 띄지 않는 버그”가 표시되었습니다.
Comodo는 온라인 디지털 서명 인증서에 대한 버그를 수정했습니다.
“코드 감사 및 QA 양식에 관계없이 이 버그는 여전히 생성 코드에 포함되었습니다.”라고 Stradling은 말했습니다. 그 결과 8개의 승인이 발행되어서는 안 되는 승인이 났고 이러한 승인은 이제 거부되었다고 그는 구성했습니다. 다른 CA에서 동일한 문제가 발생했을 수 있습니다. Stradling은 “상당한 수의 서로 다른 CA에서 발급한 내성 인증을 발견했지만 다른 게시물에 보관할 것입니다.”라고 구성했습니다.
CA가 내부를 위해 SSL/TLS 문서를 발행해야 하는 이유는 man-in-center 공격을 피하기 위한 것입니다. 조직 및 협회는 일반 사회 인터넷에서 볼 수 없는 내부 호스트 이름을 가진 서버 또는 장치에 대한 SSL/TLS 문서를 관례적으로 구매했습니다. 이러한 유언은 서로 대화하는 기계를 확인하는 데 사용됩니다. 협회는 CA 자체가 아니기 때문에 CA에서 해당 인증을 구매해야 했습니다.
CA는 올바른 요소가 인증을 요구한다는 것을 보장하기 위해 열린 영역에 대한 전산화 인증에 대한 요구를 수용하지만 내부적으로는 그렇게 할 수 없습니다. 따라서 공격자가 “local.host”와 같은 평범한 이름을 가진 서버에 대한 고급 보증을 획득하고 나중에 다른 협회의 인코딩된 정보 활동을 스크리닝하기 위해 공격에 이를 활용할 수 있습니다.
또한 읽기:
-
ISIS, 54,000개 이상의 트위터 계정 해킹,
-
브라질 육군 서버 해킹, 7000명 이상의 군인 신분 유출,
- Adobe Flash는 해커를 위한 최고의 선택입니다.
2016년 10월까지 CA는 해당 보증이 아직 만료되지 않은 경우 내부 호스트에 대한 유언을 거부해야 합니다. Stradling은 Comodo가 문제를 발견한 후 약 2시간 후에 핫픽스가 적용되었다고 구성했습니다. 스트래들링은 “우리는 이 명령을 사용하고 얼마 전부터 시도한 전략 변경이 우리가 기대하고 기대하는 벤치마크 아래로 떨어진 것을 한탄합니다.”라고 말했습니다.