Certifikační bezpečnostní certifikáty vyvolávají otázku spolehlivosti SSL

Jako zákazníci jsme se naučili důvěřovat ikoně visacího zámku, která se objevuje na adresním řádku našich prohlížečů. Řekli nám, že je to znak, že naše komunikace s webovými stránkami je bezpečná. Ale tento týden se týká události, která se týká společnosti Google a turecké bezpečnostní společnosti.

Společnost TurkTrust tento týden odhalila, že v srpnu 2011 omylem vydala dva klíčové klíče dvěma "entitám". Master kódy, které se nazývají mezilehlé certifikáty, umožňují uživatelům vytvářet digitální certifikáty pro libovolnou doménu na Internetu.

Digitální certifikáty jsou ve skutečnosti šifrovací klíče, které se používají k ověření toho, že web je to, co říká. Certifikát pro vaši banku například ověřuje váš prohlížeč, že ve skutečnosti mluvíte s vaší bankou při online bankovnictví.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Používají se certifikáty šifrovat informace mezi vámi a webovými stránkami. Znamená to zelený visací zámek na adresním řádku prohlížeče. Prohlížeč komunikuje s webovou stránkou pomocí protokolu Secure Sockets Layer po ověření jeho pravosti

Internetový zákazník s falešným certifikátem, který může zachytit komunikaci mezi vámi a důvěryhodnou webovou stránkou, může váš prohlížeč oklamat, aby věřil, že komunikuje s důvěryhodnou stránkou a únos své komunikace. To je nazýváno "mužem uprostřed útoku", protože zloděj sedí mezi vámi a důvěryhodným místem.

Chyba opravena, problém pokračuje

TurkTust chybu objevil Google na Štědrý den funkce, kterou má v prohlížeči Chrome platforma, která na Google vyvolá červenou vlajku, když se někdo pokusí použít platformu s neoprávněným certifikátem.

Po zjištění problému s certifikátem společnost Google informovala TurkTrust o situaci, stejně jako společnosti Microsoft a Mozilla, které všechny modifikovaly své platformy prohlížeče zablokovat neoprávněné certifikáty vytvořené u prostředního certifikačního úřadu.

Tento certifikát snafu je jen poslední známkou, že stávající systém vydávání digitálních certifikátů potřebuje opravit. Například v březnu 2011 byla porušena společnost přidružená k certifikační autoritě Comodo a bylo vydáno devět falešných certifikátů.

Později v průběhu roku hackeři porušili nizozemskou certifikační autoritu DigiNotar a vydali desítky falešných certifikátů, Google. Splnění tohoto incidentu znemožňuje podnikání.

Hledání: Bezpečnost dalšího typu

Řada návrhů byla vysílána k řešení bezpečnostních problémů týkajících se certifikátů.

Existuje konvergence. Umožňuje prohlížeči získat druhý názor na certifikát ze zdroje vybraného uživatelem. "Je to brilantní myšlenka, ale jakmile se dostanete do podnikové sítě a vy jste za zástupcem nebo za síťovým překladatelem, může se rozbít," řekl Chet Wisniewski, bezpečnostní poradce se Sophosem. > Je zde DNSSEC. Používá systém rozlišení názvů domén - systém, který mění běžné názvy webových stránek na čísla - a vytváří důvěryhodné spojení mezi uživatelem a webovou stránkou. Nejen, že systém není snadno srozumitelný, ale implementace může trvat roky.

Problém s DNSSECem je, že vyžaduje implementaci nové technologie a koordinovanou modernizaci infrastruktury, než budeme moci využít, "uvedl Wisniewski. "S mírou adopce, kterou jsme dosud viděli, to znamená, že nebudeme mít řešení na deset nebo patnáct let. To není dost dobré."

Také jsou navrženy dva "pinningové" techniky - Rozšíření pro HTTP a důvěryhodné tvrzení pro certifikátové klíče (TACK), které jsou podobné.

Umožňují webové stránce změnit hlavičku protokolu HTTP, aby identifikovala certifikační autoritu, kterou věří. Prohlížeč tyto informace uloží a vytvoří připojení k webovému serveru pouze tehdy, pokud obdrží certifikát podepsaný certifikačním orgánem, který důvěřuje danému webu.

Návrhy upínání jsou s největší pravděpodobností přijaty k vyřešení problému s certifikátem, podle Wisniewského. "Mohly by být přijaty v krátkém pořádku," řekl. "Umožňují lidem, kteří chtějí využívat pokročilé zabezpečení, aby tak učinili hned, ale neporušuje žádný existující webový prohlížeč, který není aktualizován."

Ať už se někteří výrobci prohlížečů přijímají k řešení problému s certifikáty, potřebují udělej to brzy. V opačném případě se snafus bude i nadále rozšiřovat a důvěra na internetu může být nenapravitelně poškozena.