Ich bin auf eine große Sicherheitslücke in einer Zertifizierungsstelle gestoßen, der alle modernen Browser und Computer vertrauen.
Insbesondere kann ich ein gültiges signiertes Zertifikat für eine Domain erhalten, die ich nicht besitze . Wenn ich die Mittel hätte, ein Mann in der Mitte zu werden, könnte ich ein perfekt gültiges SSL-Zertifikat vorlegen.
Diese Sicherheitsanfälligkeit erforderte keine SQL-Injektionen oder Codierung meinerseits. Ich bin im übertragenen Sinne darüber gestolpert.
Wie kann ich das richtig melden? Ich möchte ethisch korrekt sein und es der betreffenden Zertifizierungsstelle melden, aber ich möchte auch nicht, dass sie einfach die Sicherheitsanfälligkeit beheben und dann alles unter den Teppich kehren. Dieses Problem scheint schon eine Weile aufgetreten zu sein, und ich bin einfach nicht klug genug, um es als einziger zu finden.
Ich befürchte, dass die alleinige Kontaktaufnahme mit der Zertifizierungsstelle zu einer Panik führen kann Ihr Teil und sie befürchten einen DigiNotar-ähnlichen Vorfall und werden alles tun, um die Öffentlichkeit davon abzuhalten, es herauszufinden.
Darf ich auch einige wichtige Akteure wie andere Zertifizierungsstellen oder andere Websites wie z als CloudFlare oder Google? (Ich weiß, dass CloudFlare vor der Veröffentlichung der öffentlichen Ankündigung ein Heads-up zu HeartBleed erhalten hat.)
Hinweis: Ich poste unter einem Pseudonym-Konto, um vorerst anonym zu bleiben. P. >
Bearbeiten: Diese Frage bezieht sich auf eine andere Frage, aber ich bin der Meinung, dass diese Sicherheitsanfälligkeit nicht in den Rahmen dieser Frage fällt. Dies könnte im Wesentlichen das gesamte Internet betreffen (dh jeder, der online ist, ist Kunde), und meine Frage besagt ausdrücklich, dass die einfache Kontaktaufnahme mit dem "Entwickler" (die akzeptierte Antwort auf die verknüpfte Frage) für mich nicht der beste erste Schritt ist.
Bearbeiten 2: Ich habe Kontakt mit einigen Leuten aufgenommen und sie haben mir geraten, nicht weiter in diesem Forum zu reden (sorry Leute!). Ich werde diese Frage später aktualisieren, nachdem die Sicherheitsanfälligkeit vollständig behoben und falsche Zertifikate widerrufen wurden.
Bearbeiten 3: Die Details sind aus. Ich habe auf meiner persönlichen Website weitere Informationen zu den Besonderheiten der Sicherheitsanfälligkeit veröffentlicht. Die Geschichte ist noch nicht abgeschlossen, und Sie können die Diskussion zwischen Mozilla, Google und CA WoSign lesen.
Bearbeiten 4: Wie versprochen aktualisiere ich mit einem Link zu Ein Artikel von Ars Technica zu diesem und anderen Vorfällen mit WoSign. WoSign und StartCom (jetzt im Besitz derselben Firma) sind möglicherweise ernsthaft von einem Root-Widerruf bedroht.