,
17 tweets,
4 min read
Read on Twitter
Então é assim:
A Multicert (empresa portuguesa, detida pela SIBS, CTT entre outros) e a Camerfirma fizeram asneiras.
Emitiram perto de 1000 certificados de SSL com falhas criptográficas.
Este problema foi reportado em Março ( bugzilla.mozilla.org/show_bug.cgi?i… )
A Multicert (empresa portuguesa, detida pela SIBS, CTT entre outros) e a Camerfirma fizeram asneiras.
Emitiram perto de 1000 certificados de SSL com falhas criptográficas.
Este problema foi reportado em Março ( bugzilla.mozilla.org/show_bug.cgi?i… )
Durante meses não foi tomada qualquer medida.
Dizem as regras que quando há incidentes deste género que os certificados devem ser revogados em 24h depois do incidente identificado ( wiki.mozilla.org/CA/Responding_…)
Dizem as regras que quando há incidentes deste género que os certificados devem ser revogados em 24h depois do incidente identificado ( wiki.mozilla.org/CA/Responding_…)
Há casos onde se pode dar mais tempo caso estes certificados estejam a ser usados em infraestruturas críticas (é este o caso).
O problema no processo de emissão dos certificados foi corrigido a 2019-03-12.
No entanto não foi tomada qualquer medida sobre os certificados já emitidos.
No entanto não foi tomada qualquer medida sobre os certificados já emitidos.
Não havendo respostas por parte da Multicert, q devia ter entrado em contacto com os clientes, revogado e emitido novos certificados, a 'associação' que garante a idoneidade dos certificados de SSL decidiu revogar ela própria todos os certificados que foram mal emitidos no dia 1
Na resposta a isto a Multicert enviou *hoje* um email aos seus clientes afetados a avisar que ia revogar os certificados segunda feira ao meio dia.
Ou seja deu 3 dias para os clientes (que não têm absolutamente culpa nenhuma) para mudarem os certificados nos seus servidores.
Ou seja deu 3 dias para os clientes (que não têm absolutamente culpa nenhuma) para mudarem os certificados nos seus servidores.
Quem foi afetado?
Quando foi reportado foi dada uma lista de certificados.
Peguei nessa lista e pesquisei pelo serial number no shodan. Há resultados não encontrados (o que é normal).
Aqui está a lista de quem foi afetado: pastebin.com/UzzbtLKk
Quando foi reportado foi dada uma lista de certificados.
Peguei nessa lista e pesquisei pelo serial number no shodan. Há resultados não encontrados (o que é normal).
Aqui está a lista de quem foi afetado: pastebin.com/UzzbtLKk
Como podem ver temos desde CMs, a bancos, entidades governamentais... Um pouco de tudo. Acredito que algumas coisas são mesmo de infraestruturas críticas ao funcionamento de muitas coisas que usamos no dia a dia.
O que vai acontecer segunda feira?
Na maior parte dos casos diria que nada :)
Facilmente conseguimos ver que alguns dos afetados já mudaram os seus certificados e nada vai acontecer.
Na maior parte dos casos diria que nada :)
Facilmente conseguimos ver que alguns dos afetados já mudaram os seus certificados e nada vai acontecer.
E o que ainda não mudaram e não vão mudar?
Bem nesse caso se o certificado estiver num site os browsers vão dar o aviso de problemas no SSL.
Nos casos de comunicações M2M se estiverem a ignorar os erros de TLS (o q é uma pratica extremamente incorrecta) vão deixar de funcionar
Bem nesse caso se o certificado estiver num site os browsers vão dar o aviso de problemas no SSL.
Nos casos de comunicações M2M se estiverem a ignorar os erros de TLS (o q é uma pratica extremamente incorrecta) vão deixar de funcionar
A lista deve ser interpretada com cuidado. É uma lista que apenas mostra quem foi afetado pelo problema. *NÃO* significa que segunda feira vão ter problemas e o Mundo vai acabar.
Essa lista de quem ainda tem o certificado em uso espero conseguir fazer no entretanto-
Essa lista de quem ainda tem o certificado em uso espero conseguir fazer no entretanto-
Notem o email da Multicert eles estão claramente a mentir e a meter responsabilidade para os browsers. Isto é completamente inadmissível ainda para mais é a empresa que emite certificados para praticamente todas as infraestruturas críticas que todos nós usamos no dia a dia
Esta resposta diz muito sobre o que a comunidade acha da resposta da Multicert a este incidente.
Se contactarem o suporte da Multicert não reconhecem a existência do problema desde Março (embora o tenham corrigido a 2019-03-12).
Não vão ter nenhum tipo de suporte especial para ajudar os clientes nestes dias até segunda feira
Não vão ter nenhum tipo de suporte especial para ajudar os clientes nestes dias até segunda feira
E ainda dizem que os certificados vão ser renovados segunda ao meio dia quando é exatamente o contrário. Vão ser *revogados* não renovados.
Podia falar um pouco mais sobre este assunto. Afinal esta empresa suporta toda a parte criptográfica de grande parte da infraestrutura crítica d serviços de Portugal. Sejam serviços do estado, da ordem dos médicos dos advogados, bancos etc.
Mas seria um pouco sensacionalista
Mas seria um pouco sensacionalista
Termino só com isto facebook.com/o.programa.da.…
