
Well the ideal way to address this would be for Citi to have a different cert for each host (sharing private keys is bad) and for each of those certs to be issued under an intermediate cert that is unique to Citigroup.<div>

<br></div><div><br></div><div>Only making that happen is going to be rather difficult if it is going to result in Peter Eckersley then claiming that there are 651 CAs operating.</div><div><br></div><div><br><br><div class="gmail_quote">

On Sun, Nov 6, 2011 at 5:07 PM, Ondrej Mikle <span dir="ltr"><<a href="mailto:ondrej.mikle@nic.cz">ondrej.mikle@nic.cz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Hi,<br>

<br>

I've created a dataset covering CDN services (to see how common the "citibank<br>

effect" is). CDN service is defined as hostname serving certificates with<br>

overlapping time periods (i.e. cert A is seen, cert B is seen, then A again;<br>

mostly due to reverse NATs, fast-flux DNS, multiple IPs or misconfiguration).<br>

<br>

<br>

Following CSV lists 11017 CDN hostnames and certificate issuers for their 26403<br>

certs:<br>

<a href="http://constructibleuniverse.net/CDN/CDN_hosts.csv" target="_blank">http://constructibleuniverse.net/CDN/CDN_hosts.csv</a><br>

<br>

Format is:<br>

host|db_id|issuer organization|issuer CN|first_seen|last_seen<br>

<br>

Taking out only hosts that have certs issued by different issuers, we get:<br>

- compared by issuer organization and CN strings - 4633 hosts:<br>

  <a href="http://constructibleuniverse.net/CDN/CDN_hosts_filtered_by_org_cn.csv" target="_blank">http://constructibleuniverse.net/CDN/CDN_hosts_filtered_by_org_cn.csv</a><br>

- compared by issuer organization string only - 4022 hosts:<br>

  <a href="http://constructibleuniverse.net/CDN/CDN_hosts_filtered_by_org.csv" target="_blank">http://constructibleuniverse.net/CDN/CDN_hosts_filtered_by_org.csv</a><br>

<br>

Full certificate chains sent by the hosts (25 MB, format<br>

db_id|server_cert|intermed_cert1|...) :<br>

<a href="http://constructibleuniverse.net/CDN/CDN_cert_chains.csv.bz2" target="_blank">http://constructibleuniverse.net/CDN/CDN_cert_chains.csv.bz2</a><br>

<br>

<br>

Few picks and oddities from the set:<br>

<br>

- most CDNs tend to stick with one CA, examples of "large" exceptions: Facebook<br>

(DigiCert, Verisign, Equifax), <a href="http://m.unionbank.com" target="_blank">m.unionbank.com</a> (Usertrust, Verisign)<br>

- self-signed certs popping up along with CA-issued ones seem rather common,<br>

sometimes it's just once, sometimes both coexist for long time (e.g.<br>

<a href="http://accessanywhere.net" target="_blank">accessanywhere.net</a>, <a href="http://webaccess.gtbankuk.com" target="_blank">webaccess.gtbankuk.com</a>)<br>

- <a href="http://accessorycenter.brightstarcorp.com" target="_blank">accessorycenter.brightstarcorp.com</a> - one of certs it sends is revoked<br>

- SSL inspection/MitM boxes sometimes show up before being configured (Blue<br>

Coat, SonicWall, Watchguard Fireware)<br>

<br>

Final notes:<br>

- scanning was done daily between 2011-09-23 and 2011-11-04 on 1.5M+ hostnames<br>

- four certs failed to parse (noted as "!!!parse error!!!" in issuer CN/O field)<br>

- I filtered out around 800 hostnames hosted by <a href="http://fastdomain.com" target="_blank">fastdomain.com</a> and hosts<br>

pointing to 127.0.0.1 to unclutter the set (unfiltered set is at<br>

<a href="http://constructibleuniverse.net/CDN/CDN_unfiltered.csv" target="_blank">http://constructibleuniverse.net/CDN/CDN_unfiltered.csv</a>)<br>

<span class="HOEnZb"><font color="#888888"><br>

<br>

Ondrej<br>

</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br><br>

</div>