Inconsommation d'empreinte digitale SSL: qu'est-ce que cela signifie?
Je m'excuse si ce n'est pas le meilleur endroit pour poser ma question sur le réseau de piles Exchange, je ne pouvais pas comprendre où obtenir suffisamment d'attention et être pertinent.
Facebook fournit un hôte SSL, il est possible d'accéder par https://www.facebook.com . Fondamentalement, si je comprends bien, les changements dans le certificat ne doivent se produire que lorsque l'ancien certificat doit être supprimé. Toutefois, - Perspectives (un addon pour Firefox, la vérification des empreintes digitales de nombreux serveurs) trouve des incohérences dans les empreintes digitales de Facebook. Je suis concerné et j'aimerais que vos idées sur cette question.
Modifier: Explication de la capture d'écran
Le notaire et la clé de clé actuelle répertorie tous les serveurs qui ont essayé d'accéder à www.facebook.com et de l'empreinte digitale qu'ils ont trouvée dans le certificat de l'hôte. L'historique des clés montre des changements clés sur une période de 30 jours. Nous pouvons donc conjecturer que:
- À l'échelle mondiale, des changements de certificats se produisent
- Un certificat (bleu) semble être le principal certificat
- Les autres le remplace parfois et sont plutôt méfiants
Pourquoi Facebook changerait-il leur certificat de cette manière? Est-ce une pratique courante/sûre?
Je comprends que PKI avec les autorités de certification n'est pas très sécurisée, je sais que c'est facile pour certaines personnes (riches, puissantes ou compétentes) d'obtenir un certificat pour le domaine qu'ils souhaitent. Mais avant de partir tout paranoïaque, je souhaite savoir s'il y a une explication logique qui n'a rien à voir avec la sécurité.
Comme une comparaison Voici les résultats de notaire pour https://encrypted.google.com :
Les changements de certificat se produisent régulièrement, mais la clé du navigateur ne peut être perçue qu'une fois par période de 30 jours. Je commence à penser que rien n'est vraiment louche, mais ces pratiques semblent compromettre l'utilité de la perspective et nécessite des utilisateurs Trust Sociétés. Ils devraient au moins fournir une sorte d'explication à cela et pourquoi pas, une liste de leurs empreintes digitales de certificat.
Bounty: J'aimerais donc voir des références sur un tel système, il est certainement possible de trouver une spécification ou un document recommandant une telle configuration avec des certificats de multiples dans un même groupe régional qu'il semblait être le cas de Facebook. En outre, si d'autres théories crédibles existent, veuillez les partager.
faits établis
Grâce aux réponses et aux commentaires de ce fil, nous pourrions comprendre:
- Facebook a en effet différents certificats
- Même derrière une seule adresse IP (équilibreur de chargement)
- Révoquer un certificat et le remplacer serait plus facile de cette façon
[~ # ~] mais [~ # ~]
- Cela améliore-t-il la sécurité?
- Garder une trace de quel serveur a le certificat fastidieux, cette méthode est-elle vraiment valable? Ce n'est même pas évolutif car les certificats sont différents dans un seul cluster régional
- Que diriez-vous de garder des certificats de rechange en cas de fuite? Garder les autres contre les déployer tous semble mieux d'un point de vue de sécurité: si une fuite, pourquoi pas les autres?
EDIT: réponse acceptée
Reportez-vous à la réponse et aux commentaires acceptés, je vois des choses plus clairement. Cela m'a aidé à comprendre les raisons de cette installation, les déploiements réels de la vie réelle peuvent ne pas être aussi simples que je pensais à l'origine. Je trouve triste que la perspective Addon soit presque inutile dans de telles occasions, mais je ne peux pas m'attendre à ce que Facebook se soucie de cela, cela n'a pas de sens pour presque tout le monde. Merci à tous pour votre participation.
Cela dépend probablement de la résolution DNS + la mise en cache qui pourrait également se produire sur les serveurs de notaire. Si vous résolvez www.facebook.com, vous obtenez généralement une adresse IP. Mais cette adresse IP change au fil du temps et peut vous conduire à quelque part différent.
Je viens de faire un chèque rapide et, en effet, l'adresse IP www.facebook.com auquel j'ai été modifiée et que les informations de certificat étaient différentes.
Au cours de quelques minutes, j'ai reçu 3 adresses IP différentes pour www.facebook.com: 69.171.229.16, 69.171.234.80, 69.171.228.40
Obtenir le certificat SSL pour chacun de ces certificats IPS produites. Cependant, les certificats n'étaient pas cohérents, même pour la même adresse IP qu'il semble. Sur ces quelques minutes, j'ai reçu au moins deux certificats:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
et
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Facebook peut avoir une liste des priorités de laquelle IP Adresse IP Les problèmes DNS, puis le noeud final SSL que vous avez frappé (via leurs équilibreurs de charge) lorsque vous accédez à l'une des adresses IP Facebook. Leur configuration d'infrastructure pourrait "préférer" certains points d'extrémité sur les autres (peut-être qu'ils ont un matériel plus fort sur un point final sur un autre), c'est pourquoi vous verriez surtout une empreinte digitale, mais parfois une autre.
METTRE À JOUR:
Pour répondre à vos questions supplémentaires plus spécifiquement:
Cela améliore-t-il la sécurité?
Je pense que cela fait, mais principalement si vous envisagez disponibilité plutôt que confidentialité ou intégrité lorsque vous dites "sécurité". Si un certificat expire/doit être révoqué/doit être remplacé pour toute autre raison, vous en avez toujours une autre entièrement opérationnelle, en direct et prêt.
Garder une trace de quel serveur a le certificat fastidieux, cette méthode est-elle vraiment valable? Ce n'est même pas évolutif car les certificats sont différents dans un seul cluster régional
Cela pourrait être un peu fastidieux, mais je suis sûr que ce n'est qu'une fraction des tâches fastidieuses que Facebook doit traiter dans le grand schéma des choses. Est-ce que ça vaut le coup? Je pense que et je dirais que Facebook le faire pour une raison (comme je l'ai mentionné ci-dessus, principalement des raisons de disponibilité). J'imagine que ce n'exécutait pas sur un serveur, mais un groupe d'accélérateur SSL dédié de curricularl/Cust-Point d'extrémité. Ceux-ci géreront le trafic SSL et ensuite la communication inversée proxy à certains serveurs Web frontaux (qui n'auraient pas besoin de s'inquiéter des certificats).
Que diriez-vous de garder des certificats de rechange en cas de fuite? Garder les autres contre les déployer tous semble mieux d'un point de vue de sécurité: si une fuite, pourquoi pas les autres?
Oui, en gardant des certificats de rechange hors ligne, c'est une très bonne idée et sans savoir que je parie que Facebook le faire aussi. Avoir plusieurs certificats en ligne n'est pas mutuellement exclusif pour avoir également quelques-uns hors ligne. Vous supposez qu'ils les déploient tous, ce qui pourrait ne pas être le cas. En faisant également la connexion logique que si on fuit, les autres auraient-ils besoin de plus de faits. S'ils ont une bonne sécurité en place pour garder les choses séparées, un compromis ne correspond pas immédiatement à un autre. Ils pourraient, par exemple, utiliser différents HSMS de différents fournisseurs sur différents systèmes d'exploitation de serveurs, protégés par un ensemble séparé de pare-feu et géré par une équipe complètement indépendante.