GOPHERSPACE.DE - P H O X Y
gophering on hngopher.com
HN Gopher Feed (2017-11-03) - page 1 of 10
 
___________________________________________________________________
Show HN: CertStream - See SSL certs as they're issued in real time
44 points by zer01
https://certstream.calidog.io
___________________________________________________________________
 
mastax - 58 minutes ago
There seems to be a big list of domains streaming through in
alphabetical order. First there were dozens all starting with J,
now there are dozens starting with K. Looks like gemalto is going
through the day's domains in alphabetical order and adding them one
at a time?
 
  zer01 - 38 minutes ago
  Yeah, it's interesting to see how certs are issued from the
  larger lists, since they tend to come in a deluge. This goes
  doubly for the cloudflare SNI certificates for their edge nodes!
 
y0ghur7_xxx - 32 minutes ago
A bit OT, but there is a thing about CT that I keep asking me and I
can't seem to find an answer: Say I use a letsencrypt certificate
for my nextcloud installation on my home server. Now say that the
german police is investigating on me. They call up the BSI and tell
them "hey, can you please issue me a signed cert for
nextcloud.y0ghur7.xxx so we can mitm this guy? And please, don't
log it to the CT, so nobody will ever know"I will probably never
know, because BSI is a trusted CA in all browsers and other http
clients so they don't complain (and I am not looking at what
certificate the server sent me every time I open my nc page), and
nobody else will ever know that that certificate was released. Am I
right? So what does CT buy me?
 
  eledra - 21 minutes ago
  There is Certificate Transparency for that problem. It is on work
  though.
 
  bouk - 26 minutes ago
  At some point browsers will stop allowing certificates that are
  not logged through CT
 
    zer01 - 20 minutes ago
    This is (imo) the most correct response to this query. The idea
    behind the CT lists is that browsers will flip into a "if it's
    no publicly identifiable, it's not valid" mode.The Coinbase
    Engineering blog actually just put out an article on this very
    topic today - https://engineering.coinbase.com/moving-to-
    expect-ct-d0d26a0....
 
    y0ghur7_xxx - 17 minutes ago
    >  At some point browsers will stop allowing certificates that
    are not logged through CTMakes sense. So to be sure nobody
    issued a cert for one of my properties I would have to check
    regularly on CT logs to be sure that only certs requested by me
    are issued. But in that case, if someone requests a cert for
    one of my properties, and that cert was not requested by me,
    what do I do?Do I tell mozilla and google that "someone issued
    cert id 4d8effdd25 for my nextcloud installation (or my forum
    where some rebellious users meet up sometimes) to mitm me, but
    it was not me". Will they belive me? And it will be probably to
    late anyway, because propagation to a CT log can take up to one
    day, so they got data on all the traffic for a whole day.
 
      tomschlick - 8 minutes ago
      That's what the CAA dns records are meant to prevent. It
      tells Certificate Authorities which of them are allowed to
      issue for your domain.Couple that with most providers
      requiring you to prove your domain via DNS or organizational
      status and you narrow the attack window.Also I'd assume that
      as the owner of a domain, you'd be able to revoke any
      certificate for your domain that you didn't create.
 
        foota - 5 minutes ago
        Maybe that's the piece of the puzzle that's missing here?
        Being able to revoke a cert automatically by proof of
        domain ownership?
 
      advisedwang - 6 minutes ago
      It's not part of CT, nor does it fully solve the issue, but
      you might also like Certificate Authority Authorization. CAA
      allows you to publish what CAs are acceptable for your domain
      via DNS. CAs shouldn't issues certificates against that. Of
      course that doesn't protect against a rogue, compromised or
      coerced CA, but it does protect against phony requests to the
      CA.
 
      zer01 - 2 minutes ago
      > I would have to check regularly on CT logsYou would indeed,
      which is part of the reason I released this service +
      libraries, so some enterprising developer can build a nice
      alerting service with it for folks just like you!> Do I tell
      the mozilla that "someone issued cert id 4d8effdd25 for my
      nextcloud installationNot exactly, I believe you'd probably
      contact the certificate issuer who issued the original
      certificate to have them issue a revocation, but my sincere
      hope is that folks running CAs will eventually come up with
      some better method for flagging certificates as bad/malicious
      than "just email Symantec support", since I wouldn't wish
      that on anyone.
 
    arkadiyt - 16 minutes ago
    > At some point browsers will stop allowing certificates that
    are not logged through CTChrome is scheduled to do start doing
    this in April 2018
 
  merb - 25 minutes ago
  if you want to mit the guy you would need to re-route ANY traffic
  from nextcloud.y0ghur7.xxx to the BSI datacenter, I'm not sure if
  that is even possible. (also this does not find the owner of the
  site, how they do that you can read more about the dozens of
  takedowns of black market sites inside the onion network (most of
  the time it is/was human error))
 
  vetrom - 23 minutes ago
  At least google chrome (and im sure plenty of other browsers)
  embed some certs (or at least their hashes) in the browser to
  protect against this sort of attack for some services. See
  https://news.ycombinator.com/item?id=9078506 for some discussion
  on this -- its a slightly different response to a slightly
  different threat model.
 
    y0ghur7_xxx - 12 minutes ago
    That's cert pinning. I think you are talking about something
    else.
 
waibelp - 1 hours ago
Sweet landingpage!
 
  zer01 - 35 minutes ago
  Thanks! It's a few iterations in, and my designer
  (http://www.jweiller.com/) was definitely responsible for the
  best looking parts!
 
zer01 - 2 hours ago
Hey folks, developer of CertStream here. You can read more about
the motivations and implementation behind this project by visiting
the announcement page (https://medium.com/cali-dog-security
/introducing-certstream-...) on my company's blog. I'm also happy
to field any questions anyone may have!