20060227

REPOST: Delete your root certs!

Link

Repost from my dead blog. 2006-02-27

I promise, this will be a long one. But I’m venting on something I’ve known to be an issue for awhile.

First, look at Schneier’s blog on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phishing attack.

For a couple of years, I’ve been telling folks to delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir root certs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir browser. And this phishing attack is precisely why.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 non-technical, when you visit an SSL site, part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process involves your browser determining that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site belong to whom it is purported to belong to. In fact, channel encryption is a by-product of this verification process. During this exchange, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server sends your browser its certificate, which may or may not be digitally signed by a Certificate Authority (CA). A CA’s responsibility when signing a certificate is to verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entity requesting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certificate. So if you’re getting a certificate for myreallycoolcompany.com, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to do some work to verify that you’re actually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper owner of myreallycoolcompany.com.

Notice what I DIDN’T say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do. I DIDN’T say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y check to make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site is not a knock-off of a legitimate site (nor should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y), nor do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ask if you intend to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certificate for fraudulent purposes (nor should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y), nor do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y verify any kind of association between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 website (myreallycoolcompany.com) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company requesting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certificate (My Parent Company, Inc.), nor should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y. They DO check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registration information for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registrar with information you send to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CA. Usually, this whole process involves sending a certificate signing request (CSR), and out-of-band sending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CA a piece of letterhead - this PROVES beyond any doubt whatsoever that you indeed own cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company (tongue in cheek) - and a substantial wad of cash.

Now, when your browser visits myreallycoolcompany.com and goes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSL portion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site sends cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir certificate, and your browser checks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature chain to see if a CA that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser trusts has signed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cert. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature is found, your browser assumes that you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user indeed trusts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site. So you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cool little padlock that tells you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection is secure and that you can trust this company with all your personal and financial information.

But again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CA only checks identity. Somebody (Botswana Holding Company) in Botswana could easily register cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365stranahtans.com (misspelling deliberate). Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir letterhead (for Botswana Holding Company) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSR to a CA. They get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cert, and almost every browser on earth will transparently trust anything that comes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y send out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir phishing attack, make it look just like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365stranathans.com, and everybody who is savvy enough to LOOK for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSL icon and knows vaugely what a CA is implicitly trusts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365stranathans.com because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL looks right (it’s as easy to mis-read misspellings as it is to type cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that way) and some CA says that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site is “safe”.

In addition to my three rules for using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet, on occasion when using a new machine, I’ll delete all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CA certificates from my browser. There are cases where this simply doesn’t work - some tools (like Windows EFS if you have it or use it) have to have certain root certs installed. But in Firefox, I’ll delete all my root certificates. Then I’ll manually visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSL sites I visit most - my ISP, mail provider, bank, credit card holder, etc. The first time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser will complain because you don’t trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CA that signed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cert can’t be found. So you carefully review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL you typed in and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certificate. But it protects you in two ways:

1) If you mistype a URL or (heaven forbid!) click a bad link in a phishing email and you go to a site that looks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legitimate one, your browser will complain because you don’t trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certificate. So you get a visual red flag not to interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site, or at least to see 2)

2) YOU become in control of trusting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites you want to trust. Without deleting your root certificates, you’re implicitly trusing any website cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CA says you should trust - which happens to be exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subset of websites with owners who have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $400 to spend per year on a certificate. Hackers usually have a lot more than $400 when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y stand to gain more than that in return.

And just to continue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rant, Verisign intends to add anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tier to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir signing offering. If you pay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m twice as much, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will do twice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work to verify your identity. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y still do absolutely zero (as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should) to verify your INTENT. And what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hope will happen is what Microsoft intends to do wth Vista - you don’t get a yellow address bar unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site is REALLY secure (meaning that whoever bought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cert was REALLY rich, meaning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re prolly twice as malicious).

See, all this time, you thought SSL meant “safe”. That somehow SSL wasn’t allowed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys. Or that you couldn’t sign code if you were a bad guy.

Just trying to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browsing public.

0 comments: