Question:
Dois-je faire confiance à un site Web qui utilise un certificat HTTPS SHA-1?
user1
2016-05-26 14:08:01 UTC
view on stackexchange narkive permalink

Je suis sur un site Web où j'ai besoin de payer pour quelque chose. Ce site Web a l'avertissement suivant en haut à gauche:

enter image description here

Ce site utilise une configuration de sécurité faible (signatures SHA-1 ) afin que votre connexion ne soit pas privée

Dois-je continuer et entrer les détails de ma carte et payer quelque chose sur ce site?

Quels sont les risques de sécurité?

Informations supplémentaires:

J'utilise Google Chrome sur une machine Windows 10.

Dans Internet Explorer, je reçois le message suivant:

enter image description here

Se lit comme quelqu'un qui a vraiment besoin de XP pour fonctionner (administrateur du serveur).
Cinq réponses:
Philipp
2016-05-26 14:36:39 UTC
view on stackexchange narkive permalink

C'est un mauvais signe, mais il est toujours très peu probable que la connexion soit écoutée.

Le site Web semble avoir un certificat valide signé par une autorité de certification, mais il est signé avec un faible et algorithme de hachage obsolète.

Qu'est-ce que cela signifie?

Cela signifie que la connexion est cryptée et qu'un espion passif ne peut toujours pas écouter. Mais un attaquant déterminé ayant accès à beaucoup de puissance de traitement pourrait générer un faux certificat pour ce site Web et l'utiliser pour usurper l'identité du site Web. Il est donc possible que vous ne soyez pas réellement sur le site Web que vous pensez être, mais que vous soyez plutôt sur un site contrôlé par un pirate informatique. Mais une telle attaque nécessiterait beaucoup de ressources et nécessiterait en plus d'être en contrôle d'un routeur entre vous et le site Web.

Mais même si nous supposons qu'aucune attaque n'a lieu, nous devons rester faites attention à l'impression que cela fait. SHA-1 est obsolète depuis un certain temps maintenant. Lorsque les administrateurs de ce site ne prennent toujours pas la peine de se mettre à jour, c'est un assez mauvais signe pour leur compétence générale. Cela pourrait signifier qu'ils sont également assez laxistes en ce qui concerne les autres aspects de la sécurité de leur site Web. La décision finale quant aux informations que vous leur fournissez vous appartient.

Cela signifie-t-il que le certificat faible n'est vulnérable qu'à une attaque "Man in the middle"?Donc, si je pouvais garantir que j'étais sur un réseau sûr, cet algorithme de hachage faible ne devrait pas être un problème?
@user1 Ce n'est pas seulement votre réseau qui compte, mais aussi leur réseau et tout réseau intermédiaire.Mais comme je l'ai dit, une attaque est très improbable car générer un certificat qui correspond à un hachage SHA-1 donné nécessite encore beaucoup de puissance de traitement.
@user1 Concernant la puissance de traitement nécessaire: [une analyse de Jesse Walker] (https://www.schneier.com/blog/archives/2012/10/when_will_we_se.html) a été approuvée par [Bruce Schneier] (https://www.schneierfacts.com/).
@Phillipp Wow Merci.Cela démontre vraiment le petit risque.- Affichage du coût estimé comme suit: "29 * 28,4 = 217,4 ~ 173 000 USD d'ici 2018"
@user1 Il convient de noter que ce calcul de coût implique AWS, qui est beaucoup plus cher que nécessaire.Un criminel déterminé n'utiliserait probablement pas AWS, mais plutôt des botnets ou des plates-formes de serveurs personnalisées (utilisant probablement des GPU), qui sont à la fois beaucoup moins chers et plus difficiles à leur associer que des centaines de milliers de dollars de temps de calcul dans le cloud public.Comme indiqué, c'est un calcul en arrière-plan, et probablement beaucoup plus proche du pire des cas pour les attaquants que du meilleur des cas.
Cependant, il convient également de noter que le calcul des coûts concerne une simple attaque par collision.Cela génère deux fichiers de déchets aléatoires avec le même hachage sha1.Créer un faux certificat à l'aide des faiblesses de la fonction de hachage n'est pas si simple.Cela nécessite une attaque de collision "préfixe choisi distinct" (plus difficile qu'une attaque de collision de base) * et * une autorité de certification avec de mauvaises pratiques d'émission.Une attaque de pré-image éliminerait le besoin de l'autorité de certification avec de mauvaises pratiques d'émission, mais les attaques de pré-image sont beaucoup plus difficiles que les attaques de collision.
S'ils ont autant d'ordinateur, ne généreraient-ils pas simplement quelques pièces de monnaie?
@Dave S'ils étaient stupides, ils le pourraient.Il n'est plus possible de générer des BitCoins de manière rentable avec autre chose que des ASIC (circuits intégrés spécifiques à l'application), et ce ne l'est plus depuis quelques années.
@user1 Il n'y a pas de réseau «sûr» à moins que vous n'ayez un peering avec cette société via un lien direct.
@Navin et ce n'est pas sûr non plus
@HopelessN00b, d'autre part, il suppose que la loi de Moore continue, ce qui est le meilleur des cas.
Je pensais que l'interception SHA-1 pouvait être effectuée même sur un site Web haute sécurité si votre navigateur l'exposait?Via une attaque MitM?
@HopelessN00b cela n'a pas été rentable si vous payez l'électricité.Les botnets et les logiciels malveillants ne paient pas pour l'énergie qu'ils utilisent.
un groupe de chercheurs a piraté le site de carrières de la nasa qui utilisait SHA-1, cela leur a pris 100 $ de crédit AWS
@JamesLu Pourriez-vous fournir une source?Je suis à peu près sûr que vous mélangez les choses ici, car il existe de nombreuses applications pour SHA-1 en plus des signatures de certificats et pour certaines d'entre elles, comme le craquage de hachages de mots de passe faibles, un coût de 100 $ n'est pas du tout invraisemblable.
coteyr
2016-05-26 21:11:24 UTC
view on stackexchange narkive permalink

Comme d'autres l'ont dit, techniquement, le risque est faible pour une attaque MiM. Cependant, cela a un problème et une implication plus importants.

Dois-je continuer, saisir les détails de ma carte et payer quelque chose sur ce site?

NON, VOUS NE DEVRIEZ PAS UTILISER CE SITE POUR UNE TRANSACTION PAR CARTE

Le problème SSL est, comme indiqué par d'autres, relativement mineur, cependant, l'utilisation d'un hachage SHA-1 signifie deux choses très importantes.

  1. Ils n'ont pas suivi PCI DSS Les meilleures pratiques. L'utilisation de SHA-1 dans la signature de certificats, ou dans le cryptage lui-même n'est pas recommandée, et doit avoir une exception faite pour cela lors d'un AVS (Automated Vulnerability Scan). Cela signifie que la dernière fois qu'ils ont effectué un scan PCI, ils ont dû faire tout leur possible pour réussir car ils ne suivaient pas les meilleures pratiques. Les hachages SHA-1 ne peuvent être utilisés que dans certaines circonstances et uniquement pour prendre en charge les configurations héritées. Vous devez toujours prendre en charge un autre hachage. Parce que vous utilisez Windows 10, vous prenez en charge les hachages les plus récents, ils ne le sont pas.
  2. S'ils ne peuvent pas prendre la peine de faire cette certification très simple, facile et obligatoire, ils ne se soucient tout simplement pas assez de la sécurité de votre carte de crédit pour leur faire confiance.

Remarques importantes:

  • J'aide les clients avec la conformité PCI tout le temps. C'est assez simple et direct. Cela prend "un certain temps", mais c'est un très petit investissement si vous allez gérer des cartes. (peut-être 2-3 jours avec 1 à 2 heures par jour, après une grosse poussée de 4 heures le premier jour, la première fois, ce qui consiste principalement à lire les règles, pour le plus bas niveau de conformité PCI)
  • Un autocollant de conformité PCI n'est en aucun cas une étiquette «Je ne suis pas piratable». Cela signifie seulement que vous avez fait un minimum de choses pour tenter de protéger les données de la carte. À certains égards, ce n'est même pas "suffisant", c'est plutôt un point de départ.
  • Il existe différents niveaux de complaisance PCI, mais les niveaux les plus bas (pour les sites qui confient la transaction à un tiers comme Paypal pour effectuer la collecte et le traitement des données) ne peuvent toujours pas utiliser un certificat SSL SHA-1 par sa soi.
  • Toutes les passerelles de paiement (comme PayPal) dont j'ai connaissance et qui vous permettent de transmettre les détails de la transaction (pas seulement un bouton d'achat immédiat) doivent être conformes au niveau PCI le plus bas.

Remarque lors de la rédaction de cette réponse et avec des commentaires, des modifications importantes ont dû être apportées à la réponse. En bref, l'utilisation des hachages SHA-1 dans un cadre conforme PCI est très obscure et repose sur un maillage de règles différentes pour le permettre. Bien qu'il ne soit pas actuellement interdit dans les configurations PCI-DSS actuelles, il le sera bientôt. Actuellement, il n'est autorisé que par une combinaison de clauses destinées à prendre en charge les configurations client (navigateur) impaires / anciennes. Plus particulièrement les clauses "Older SSL" qui permettent des configurations SSL non sécurisées avec d'autres moyens de sécurité afin de prendre en charge les navigateurs plus anciens (pensez IE6). Cette réponse a beaucoup changé pour refléter cela. Les notes ci-dessous sont tirées de la réponse originale, mais montrent, à l'OMI, un processus important.

Remarque Après quelques recherches, cette réponse, basée principalement sur le fait qu'ils n'ont pas du tout pris la peine de faire l'audit PCI, est en grande partie fausse . Ils auraient pu terminer l'audit PCI. Cela étant dit, l'idée générale est toujours vraie. S'ils "contournaient" le problème SHA-1 au lieu de simplement mettre à jour "quelque chose d'autre", mon opinion est valable. Gardez à l'esprit que l'autorisation SHA-1 est censée être destinée aux systèmes «vieillissants, anciens et hérités» et non pas comme une pratique permanente. Vous devez maintenant (aujourd'hui) avoir un plan de migration en place, même pour réussir l'audit.

Plus de notes Je vais devoir aborder cette question et nettoyer cette réponse, mais selon "la documentation", il y a quelques règles générales. Les premiers sites plus anciens peuvent toujours proposer SHA1 comme option de cryptage ou de signature, mais uniquement si d'autres options plus puissantes sont également disponibles. Les nouveaux sites ne peuvent pas du tout proposer SHA-1. Tous les sites utilisant SHA-1 doivent avoir un plan de migration. (AVS devrait échouer automatiquement, mais vous pouvez obtenir une exception). Enfin, il existe une date limite claire pour SHA-1 (même si elle peut être déplacée, encore une fois)

Le document PCI lié ici concerne les terminaux de point de vente, plutôt que les transactions sur le site Web, qui ont des exigences de sécurité légèrement plus élevées.Actuellement, il existe encore une exception pour SHA-1 à utiliser pour les signatures de certificat TLS dans la norme PCI DSS, pour une raison quelconque, même si j'espère que cela a été supprimé dans la prochaine révision.Cette exception ne s'applique pas aux terminaux physiques, pour une bonne raison!
Mon erreur, je sais qu'il est toujours signalé comme non autorisé (il est activé par défaut dans Apache med_ssl), laissez-moi voir si je peux trouver de la documentation.
J'avouerai ici un peu de confusion.Il semble que même si les hachages SHA-1 sont autorisés dans certains contextes, ce n'est pas une bonne pratique, et donc toujours signalé (pour moi avec mes paramètres).Vous pouvez toujours utiliser SHA-1 dans certaines circonstances.
Oui, ce n'est certainement pas l'idéal, mais dans ce cas, ce n'est pas un échec automatique - pas aussi grave que d'exposer des données PAN ou similaires
Il semble donc qu'à partir de la révision actuelle, vous n'êtes autorisé à utiliser SHA-1 que si vous avez un plan de migration en place, ET vos certificats expirent avant juin 2017. Si vos certificats expirent après juin 2017, vous n'êtes pas autorisé à utiliser SHA-1du tout.Par défaut, l'utilisation du certificat signé SHA-1 EST un échec automatique (de l'AVS) mais des exceptions sont autorisées, sauf si c'est la seule option disponible.Bah tout est compliqué sans raison.
Tout cela est très déroutant.Par la v3.2 du PCI DSS, les certificats SHA-1 ne sont pas spécifiquement exclus, mais l'implication est qu'ils tombent sous "SSL / TLS précoce".Cependant, il est parfaitement possible d'utiliser TLSv1.2 avec un certificat signé avec SHA-1, auquel cas l'identité du certificat pourrait être suspecte, mais le cryptage fourni serait fort (par exemple, seule la personne qui l'a généré pourrait décoder les donnéescrypté avec, mais vous ne pouvez pas prouver qui l'a généré en toute sécurité).Ceci est différent de la norme POI, qui mentionne spécifiquement les algorithmes de signature.
Au lieu d'avoir des notes sur l'inexactitude de votre déclaration originale éparpillées dans votre réponse, veuillez simplement mettre à jour votre réponse en gros et corriger directement les déclarations erronées.
Matthew
2016-05-26 14:40:23 UTC
view on stackexchange narkive permalink

Cela signifie que le certificat utilisé par le site utilise un algorithme de signature obsolète pour confirmer l'identité du certificat. Google cible agressivement les signatures SHA-1 pour les certificats de site depuis quelques années, car il existe des attaques théoriques qui pourraient entraîner un certificat frauduleux ayant une signature valide, bien qu'il n'y ait eu aucune preuve que cela se produise dans la nature. En outre, la méthode d'attaque exigerait un effort important et ne sera probablement pas rentable pour autre chose que des cibles de très grande valeur.

La raison principale des avertissements est d'encourager les propriétaires de sites Web à mettre à jour vers des cibles plus sécurisées. méthodes de signature, qui sont généralement disponibles gratuitement ou à faible coût auprès de leurs fournisseurs de certificats, mais offrent une protection à plus long terme à mesure que la technologie informatique s'améliore - ce processus a pris 16 ans dans le cas de MD5, le prédécesseur de SHA-1. Le certificat lui-même n'est pas plus faible que tout autre - en fait, il est techniquement possible qu'un seul certificat soit signé par les méthodes SHA-1 et SHA-256. Il peut y avoir d'autres faiblesses dans le certificat, mais il n'est pas possible de voir à partir des captures d'écran fournies.

Dans l'ensemble, cela suggère une approche légèrement de mauvaise qualité de la sécurité du site, mais ne signifie pas en soi que votre carte les détails sont susceptibles d'être volés pendant le transport. Il peut être utile de contacter l'entreprise pour signaler cette erreur et lui suggérer de mettre à jour le certificat, en particulier si vous devez y effectuer des achats régulièrement.

Voir également https://konklone.com / post / why-google-is-hurrying-the-web-to-kill-sha-1 pour plus de détails à ce sujet.

Est-ce que «dans la nature» est un qualificatif nécessaire?Y a-t-il des preuves connues de ce qui se passe en dehors de la nature, pour ainsi dire?
Il y a eu des rumeurs non fondées, mais rien de solide - de par sa nature même, de telles attaques seraient très secrètes.Pour autant que je sache, la NSA a une configuration qui fabrique de faux certificats en quelques heures, mais je considère que c'est peu probable!
OK, donc je suppose que la question est la suivante: les gens ordinaires ont-ils réellement besoin de s'inquiéter à ce sujet dans des situations ordinaires?Ce n'est pas comme MD5 où une attaque a été démontrée de toute façon, et ce n'est pas comme si tout le monde s'inquiétait pour la NSA avec * chaque * site Web qu'ils visitent.Si StackOverflow utilisait SHA-1, * tout le monde * devrait-il paniquer si la NSA avait cassé SHA-1 et pouvait voir ce qu'ils faisaient sur StackOverflow?Comme, soyons honnêtes: pas vraiment.Peut-être que 0,01% des utilisateurs paniqueront pour une raison quelconque, mais qu'en est-il du reste?J'espère même qu'ils gaspillent leurs ressources sur moi ...
... et SHA-1 suffirait dans ce cas.Si mon voisin pouvait casser SHA-1 dans une semaine et voir mes informations de connexion, * peut-être * je pourrais m'en soucier.Mais vraiment, si la seule menace est une organisation énorme comme la NSA, SHA-1 est bien assez bon et n'a pas besoin d'être banni ...
Exactement.Il est peu probable que le certificat signifie que des données seront volées en transit, mais la possibilité existe, mais il est beaucoup plus probable qu'un site qui n'a pas mis à jour cela n'ait pas non plus mis à jour d'autres fonctionnalités, ce qui peut causer des problèmes - en utilisant SHA-1hachage des mots de passe, par exemple, ce qui est totalement inacceptable.
@mehrdad Pas tout à fait, à votre deuxième commentaire.Il est obsolète pour s'assurer qu'il est complètement supprimé avant que vos voisins ne puissent effectuer ces attaques.Ce processus prend beaucoup de temps, il est donc bon de le démarrer avant que tout problème ne soit facile à exploiter, donc au moment où l'exploit est trivial, personne n'utilise le système défectueux.
Obsolète, bien sûr - je n'ai pas de problème avec l'ancienne approche de rétrograder leurs icônes à autre chose que le vert "sécurisé".Mais les marquer de manière agressive avec * rouge * comme étant moins sécurisé que HTTP ordinaire semble juste malhonnête quand nous ne savons même pas avec certitude qu'un seul cas de SHA-1 a déjà été cassé, et encore moins un cas dans la nature...
Vous avez écrit * "en fait, il est techniquement possible qu'un seul certificat soit signé à la fois par les méthodes SHA-1 et SHA-256" *.Hein?Comment?Parlons-nous de certificats x509?Ils ne peuvent avoir qu'une seule balise de hachage / signature, non?
Engineer
2016-05-27 09:21:55 UTC
view on stackexchange narkive permalink

D'autres ont noté les problèmes pour obtenir les informations de la carte sur le site, mais vous devez également réfléchir à la façon dont ils traitent ces informations en interne. J'ai déjà travaillé dans un dotcom qui stockait les informations de carte de crédit dans notre base de données en texte brut. Toute personne ayant accès aux informations client pouvait les voir.
La certification paresseuse n'est que la pointe de l'iceberg, IMO.

benJephunneh
2016-05-30 09:02:17 UTC
view on stackexchange narkive permalink

Outre le genre de paranoïa normal de Philip Dick qui vous dit que rien n'est comme il semble - jamais - il n'y a rien qui puisse être déduit simplement de voir que Chrome vous a alerté sur un site utilisant SHA-1 pour la signature de son certificat . Google a déclaré qu'ils allaient le faire en 2014. Vous pourriez être sur Amazon.com, en utilisant Chrome. Le fait est que si Amazon n'a pas commencé à chiffrer les signatures de ses certificats à l'aide de SHA-2, Chrome lancera un avertissement.

Pourrait-il y avoir une raison pour le vote défavorable?Quelque chose est-il incorrect?


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...