Mozilla представляет новую библиотеку проверки сертификатов в Firefox 31. Вдохновленная фиаско Heartbleed, она хочет убедиться, что код не содержит ошибок, прежде чем он будет выпущен в июле, и запустила специальную программу вознаграждения за ошибки в размере 10 000 долларов.
Чтобы получить право на получение этого вознаграждения, служба безопасности должна сначала соответствовать критериям обычной программы вознаграждений за ошибки Mozilla Security, по которой выплачивается до 3000 долларов США за уязвимости, обнаруженные в программном обеспечении Mozilla. Они перечислены как
Ошибка безопасности должна быть оригинальной и ранее не сообщалась.
Ошибка безопасности должна быть удаленным эксплойтом.
Отправитель не должен быть автором ошибочного кода или иным образом участвовать в своем вкладе в проект Mozilla (например, путем предоставления проверок регистрации).
Сотрудники Mozilla Foundation и ее дочерних компаний не имеют права.
Дополнительные критерии для этого разового вознаграждения, которое получит первый человек, который подаст заявку в случае дубликатов, заключаются в том, что уязвимость должна:
быть в коде в security / pkix или security / certverifier, используемом в Firefox, или быть его причиной.
запускаться при обычном просмотре веб-страниц (например, «посетить HTTPS-сайт злоумышленника»)
сообщать достаточно подробно, включая тестовые примеры, сертификаты или даже действующий сервер подтверждения концепции, чтобы мы могли воспроизвести проблему
сообщить нам до 23:59 30 июня 2014 г. (Тихоокеанское летнее время)
Разъясняя, что ищет Mozilla, Дэниел Ведитц заявляет в блоге Mozilla Security:
Нас в первую очередь интересуют ошибки, которые позволяют создавать цепочки сертификатов, которые принимаются как действительные, когда они должны быть отклонены, а также ошибки в новом коде, которые приводят к уязвимому повреждению памяти. Проблемы совместимости, из-за которых Firefox не может проверить, в противном случае действительные сертификаты обычно не считаются ошибкой безопасности, но ошибка, из-за которой Firefox принимает поддельные подписанные ответы OCSP, будет считаться.
Он также отмечает, что действительные ошибки безопасности, которые не соответствуют этим критериям, по-прежнему будут иметь право на вознаграждение в рамках общей схемы Security Bug Bounty.
Потребность в тестировании возникла в связи с появлением mozilla :: pkix, новой библиотеки проверки сертификатов, которая разработана, чтобы быть более надежной в том, что ее путь к сертификату построен, прежде чем отказаться от проверки всех потенциальных цепочек доверия для сертификата. Он также более удобен в обслуживании, чем libPKIX, который уже успешно используется в Gecko для сертифицированной проверки с расширенной проверкой, поскольку это всего 4 167 строк кода C ++ по сравнению с 81 865 строками кода C, которые были автоматически переведены с Java.
До сих пор обработка проверки сертификата в службе безопасности сети Mozilla (NSS) для обеспечения действительности сертификатов, представленных во время установления связи TLS / SSL, имела два пути кода — с использованием «классического» для проверки домена и libPKIX для проверки сертификата с расширенной проверкой, но NSS Команда разработчиков хотела заменить «классический» метод на метод, основанный на PKIX, чтобы улучшить обработку сертификатов с перекрестной подписью.