Svakheter hos Vy avslørt av offentlige TLS-sertifikater: «Tåler du å lekke interne navn?»

Kirill Miazine tok seg en titt på Vy sin CT-logg, og nå har selskapet rydda opp. Kanskje du også bør søke deg opp?

Kirill Miazine med sin "advokatt", og funnene han gjorde hos Vy da han søkte etter deres TLS-sertifikater. De har nå rydda opp. 📸: Privat / kode24
Kirill Miazine med sin "advokatt", og funnene han gjorde hos Vy da han søkte etter deres TLS-sertifikater. De har nå rydda opp. 📸: Privat / kode24 Vis mer

Detaljer om TLS-sertifikater (Transport Layer Security) som utstedes, havner i en offentlig logg: CT-loggen. CT står for Certificate Transparency.

Hensikten med Certificate Transparency er å redusere risiko for at det utstedes ondsinnede sertifikater.

  • Certificate Transparency kom på plass i kjølvannet av DigiNotar-innbruddet. DigiNotar var en sertifikatusteder som utstedte sertifikater for google.com, gmail.com og en rekke andre domener. I tillegg holdt DigiNotar kjeft i fem uker etter at innbruddet har blitt oppdaget.
  • Mekanismen forhindrer ikke at det blir utstedt ondsinnede sertifikater, men gjør det iallfall mulig å oppdage hvis det blir utstedt slike, ved at detaljer om sertifikatene kunngjøres for alle.
  • Buypass har en fin side om Certificate Transparency.

Men sertifikatene som utstedes kan være til interne tjenester, som ikke skal kunne nås via det store Internettet. Sertifikatene kan også ha navn som avslører detaljer om infrastruktur, produkter og kunder.

Som skattelister

CT-loggene åpent tilgjengelige, og det finnes flere tjenester som kan brukes for å søke i loggene. Det er nesten som skattelistene i litt eldre digitale dager.

Det er bare å gå i gang og sjekke hva du finner om deg eksempelvis på crt.sh. Vi kan ta noen tilfeldige søk først.

La oss begynne med et søk etter kode24.no. Her var det ikke så mye interessant – med et wildcard-sertifikat unngår man å avsløre så veldig mye ellers:

image: Svakheter hos Vy avslørt av offentlige TLS-sertifikater: «Tåler du å lekke interne navn?»

Ojda, Vy

Jeg har kontor like ved Oslo S, togene kjører forbi og vi kan ta en test med å søke etter vy.no.

Her var det en del mer:

image: Svakheter hos Vy avslørt av offentlige TLS-sertifikater: «Tåler du å lekke interne navn?»

Trykker man litt her og der, vil man se at Vy har en forferdelig utdatert installasjon av Nextcloud tilgjengelig:

image: Svakheter hos Vy avslørt av offentlige TLS-sertifikater: «Tåler du å lekke interne navn?»

Vy tok grep

Oops. Her er det bare å rapportere denne her til Vy, altså.

Mens leserinnlegget lå i innboksen til kode24, hadde jeg god dialog med sikkerhetsfolkene hos Vy, som tok ned de berørte tjenestene ganske omgående. Det var fint for dem at det ble akkurat vy.no som tilfeldigvis ble valgt.

Så kan vi ta en av mine favoritter – kundesjekk.no:

image: Svakheter hos Vy avslørt av offentlige TLS-sertifikater: «Tåler du å lekke interne navn?»

Her er det noen som med fordel kunne ha brukt et wildcard-sertifikat, synes jeg.

Så, tåler du å lekke interne navn?