¿Cómo distingo entre estas dos situaciones de certificado?

4

Situación 1 (segura):

  • El sitio web era vulnerable a los ataques cardíacos y el uso de un certificado no válido antes del 2012-10-21
  • Sitio web actualizado a una versión inevitable de OpenSSL
  • El sitio web se volvió a codificar y se volvió a emitir su certificado, con la misma fecha no válida anterior al 2012-10-21
  • Hoy, cuando inspecciono el sitio, me parece que no es vulnerable a las hemorragias cardíacas y que utilizo un certificado con una fecha anterior no válida de 2012-10-21

Situación 2 (insegura):

  • El sitio web era vulnerable a los ataques cardíacos y el uso de un certificado no válido antes del 2012-10-21
  • Sitio web actualizado a una versión inevitable de OpenSSL
  • Hoy, cuando inspecciono el sitio, me parece que no es vulnerable a las hemorragias cardíacas y que utilizo un certificado con una fecha anterior no válida de 2012-10-21

Por lo que yo entiendo, estas dos situaciones son indistinguibles para mí como un usuario final que nunca antes ha visitado el sitio web en cuestión. ¿Qué me estoy perdiendo?

Para su información, la situación 1 es aparentemente el caso de * .wikipedia.org. Dijeron que esa es la forma en que Digicert vuelve a emitir certificados.

security ssl certificate heartbleed
fuente
No estoy de acuerdo: si bien ESTE es un problema de seguridad, también es el tipo de problema de interés para los usuarios de Superusuario, y debería permanecer aquí.
davidgo
Podemos mantener esto aquí. También es un tema para nuestro alcance. Si no obtiene buenas respuestas dentro de unos dos días, aún podemos migrarlo.
slhck
No creo que haya una manera sin conocer el número de serie (que puede comparar con el actual o verificar en la CRL [Lista de certificados revocados]).
UKB
@ Reino Unido ¡Gracias! Si está seguro de eso, ¿podría escribir una respuesta?
@Articuno Realmente creamos un sitio web para rastrear esto lo mejor que pudimos. Llevamos los certificados a los 1 millón de sitios web principales y verificamos si todavía son vulnerables, y si el certificado tiene cambios desde que lo almacenamos en caché. Heartbleedstatus.com (no estoy seguro de que sea realmente una respuesta, así que avíseme)
Jacob

Respuestas:

0

Zmap.io tiene una lista de cambios en los certificados para los 5.000 sitios más populares. Tenga en cuenta que la fecha indicada allí no se basa en la fecha No válida antes del certificado en sí y, por lo tanto, debe representar una fecha precisa de cuándo se modificó el certificado por última vez. (Utilicé Wikipedia.org para verificar esto, ya que obtienen sus certificados de DigiCert, quienes retroceden la fecha de No válido antes de volver a escribir los certificados).

Se vinculan a los datos en bruto que utilizaron, que presumiblemente cubre mucho más que solo los 5.000 sitios principales, pero en el momento en que escribo esto, el sitio no responde.

Otro proyecto que recolecta huellas digitales de certificados es Convergence . Todavía no he explorado para ver si puedes extraer huellas dactilares y fechas, pero si lo estuvieras usando antes de HeartBleed, probablemente te avisaría cuando el certificado de un sitio cambiara (a menos que la mayoría de las personas que lo usan ya hayan aceptado el nuevo certificado para ese sitio). Irónicamente, ninguna advertencia en esta situación sería una indicación de que no estaba a salvo y una advertencia sería una indicación de que estaba a salvo.

Ladadadada
fuente
Esto es bueno. ¿Hubo algún sitio haciendo esto todo el tiempo? Parece como si esperamos hasta después de las vulnerabilidades se anuncian y atendidas, podríamos perder algunos de los antiguos certificados si el sitio responde muy rápidamente a la cuestión.
Los datos de origen están de nuevo en línea ahora y parece que se remontan durante años. Cubre todo el espacio de direcciones IPv4, por lo que es probable que incluya cualquier sitio que le interese.
Ladadadada
¡Increíble! Me parece que este es un agujero en la especificación x.509 si necesitamos confiar en un servicio como este para la determinación de la fecha de emisión.
0

Puede buscar la CRL de la Autoridad de Certificación (es decir, http://www.verisign.com/repository/crl.html de VeriSign) y ver si han revocado recientemente el certificado anterior, pero para hacerlo generalmente necesitará el certificado anterior número de serie. También podría, si tuviera el número de serie anterior, simplemente compararlo con el nuevo.

El problema es que no hay mucho que realmente pueda hacer para ver si es un certificado diferente al anterior sin el número de serie del certificado anterior.

UKB
fuente
¿Quizás revise el archivo de internet del sitio hace una semana para ver el certificado anterior?
Dan L
@DanL ¿El archivo de Internet guarda certificados?
@Articuno Hmmm, la máquina del camino no lo hace, el caché de Google no. Ok, cambia el tal vez a no molestar . Lo sentimos, debería haberme dado cuenta de que los sitios seguros no le permitirían tener una versión en caché de la página.
Dan L