Dodržujte varování týkající se certifikátu prohlížeče kvůli chybě DNS

Před několika dny jsem napsal o zásadní chybě v protokolu DNS (Domain Name Service), který zpracovává vyhledávání z názvů čitelných pro lidi na adresy IP (Internet Protocol), poradit všem čtenářům, aby zjistili jejich zranitelnost a podnikli kroky.

Existuje ještě jedno varování, které bych měl předat. Vzhledem k tomu, že tato chyba umožňuje útočníkovi otrávit DNS pro každého, kdo se připojuje k nesprávnému DNS serveru, může útočník také obejít ochranu zabudovanou do šifrovaných webových relací.

Webové šifrování používá SSL / TLS (Secure Sockets Layer / Transport Layer Bezpečnost), což je standard, který se opírá o tři způsoby, jak zajistit, aby se váš prohlížeč připojil pouze ke správné straně na druhém konci pro zabezpečené spojení.

[Další informace: Nejlepší krabice NAS pro streamování a zálohování médií]

, každý webový server, který používá protokol SSL / TLS, musí mít certifikát, jeden na server nebo certifikát skupiny. Tento certifikát identifikuje server.

Za druhé, certifikát váže název domény serveru. Můžete získat certifikát pro www.infoworld.com a používat jej na adrese www.pcworld.com.

Za třetí, identita strany, která požaduje certifikát pro daný název domény, ověří certifikační autorita. Firma, která provozuje takový orgán, ověřuje totožnost osoby a společnosti, která požaduje certifikát, a poté vytvoří certifikát s kryptograficky vázaným požehnáním. (Vyšší úrovně ověření jsou nyní k dispozici, což je důvod, proč vidíte rozsáhlé zelené místo v umístění uloženém nejnovějšími verzemi prohlížečů Internet Explorer a Firefox, které ukazují, že byla provedena rozšířená validace.)

Tyto certifikační autority samy o sobě mají soubor certifikátů, které prokazují svou totožnost a které jsou předinstalovány v prohlížečích a operačních systémech. Když se připojíte k webovému serveru, váš prohlížeč načte před zahájením relace veřejný certifikát, potvrdí, že se adresa IP a název domény shodují, potvrdí integritu certifikátu a poté zkontroluje jeho platnost.

Pokud jakýkoli test selže, varuje vás prohlížeč. S chybou DNS by útočník mohl přesměrovat vaši bankovní nebo elektronickou relaci do svých napodobených verzí zabezpečených stránek provozovaných různými firmami a váš prohlížeč by si nevšiml rozdílů v IP adresách, protože název domény v podezřelém certifikátu by odpovídal IP adresu, kterou útočník zasadil.

Váš prohlížeč by však poznamenal, že není připojen žádný podpis důvěryhodného certifikátu. (Zatím neexistují žádné zprávy o úspěšném sociálním inženýrství těchto orgánů vázané na chybu DNS.) Váš prohlížeč by vám řekl, že certifikát byl podepsán sám, což znamená, že útočník použil zkratku a zanechal podpis orgánu, nebo používal nedůvěryhodnou autoritu, kterou útočník vytvořil sám. (Jde o triviální vytvoření autority pomocí nástrojů s otevřeným zdrojovým kódem a toto je užitečné v rámci společností a organizací. Udělal jsem to sám, ale tyto nezávislé úřady nejsou prohlížeči ověřovány, pokud si samostatně neinstalujete certifikát na tyto stroje ručně.)

Moje varování je, že pokud získáte jakýkoli certifikát nebo varování SSL / TLS z vašeho prohlížeče, zastavte připojení, zavolejte svého poskytovatele služeb nebo oddělení IT a nezadávejte žádné osobní nebo firemní informace. >