(Voortzetting - samen met het bovenstaande kwalificeerde security.nl dit als spam - zucht)
Eigen onderzoek (met Google) lijkt dit te bevestigen. Zoeken naar "Fortinet_CA_SSLProxy.cer" leidt me naar verschillende sites met
identieke root certs, die gebruikers in hun OS en/of webbrowser moeten importeren:
- https://sites.google.com/a/cakmail.org/student-laptop-program/security-certificate/Fortinet_CA_SSLProxy.cer (van de Christian Academy of Knoxville, geen idee waarom dit op een Google site staat)
- http://web.saihs.edu.tw/iec/download/Fortinet_CA_SSLProxy.cer (Songshan High School of Agriculture and Industry, Taipei, Taiwan)
- http://aau.in/sites/default/files/certificate.zip (Anand Agricultural University, Anand, India)
Zoeken naar de 1e regel van de .cer file:
MIID1zCCAr+gAwIBAgIBADANBgkqhkiG9w0BAQUFADCBpTELMAkGA1UEBhMCVVMx
levert nog meer interessants op:
- http://users.telenet.be/kennes/FGT50B3G08638815_20091023%20laatst%20conf%20bouw.conf
- http://users.telenet.be/kennes/FGT50B3G08638815_20091020.conf
Hierin zie ik, naast het certificaat, ook (uit de 1e link, de 2e wijkt af maar bevat natuurlijk wel dezelfde private key):
config vpn certificate local
edit "Fortinet_CA_SSLProxy"
set password ENC StgxWsusJ3 [knip_door_Bitwiper] NWE1snSpexSQ
set comments "This certificate is embedded in the firmware and is the same
on every unit (not unique). This is the default CA certificate the SSL Inspection
will use when generating new server certificates."
set private-key "-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,CD76C6579269ADD4
54wGAGlUiEQxsaSSPVs5tESnbsTN9lSK5JEa+nez4aaxYKzFpPJ9ms0rPjpTcGyT
[knip_door_Bitwiper]
Q/ehkdcokC+EGzaqnqWfa/LRxib3kPEYvwnok2mW86T10inC+6KhGw==
-----END RSA PRIVATE KEY-----"
Vergelijkbare data is te vinden in bijv.
http://www.credist.co.jp/sample/afa/Demo5.3/firewalls/afa-594/raw_files/gen-tulip.fortigate en
http://netnotetw.blogspot.co.at/2010/09/exp80c6321990913conf.html (ongelofelijk dat admins dit soort info online posten).
Hoe lastig het is om hieruit de -unecrypted- private key te herleiden weet ik zo snel niet, maar met kennis van de Fortinet sources (die best wel eens op open source materiaal gebaseerd zouden kunnen zijn) en verschillende encrypted versies van dezelfde private key kunnen alleen maar "helpen" bij pogingen de private key te achterhalen. Voor een bezitter van een (tweedehands/gestolen) Fortinet UTM is het waarschijnlijk niet moeilijk om de private key te achterhalen, waarmee Fortinet net zo lek is als Cyberoam.
Nb. in het Fortinet root certificaat is geen CRL en/of OCSP URL opgenomen waardoor het niet kan worden gerevoked anders dan het te verwijderen of blacklisten.
Conclusie: Cyberoam en Fortinet lijken niet te beseffen hoe ze eindgebruikers in gevaar brengen. Dit zijn merken die nooit meer op mijn boodschappenlijstje zullen voorkomen...