Nieprzerwane certyfikaty bezpieczeństwa podnoszą kwestię niezawodności SSL

Jako konsumenci nauczyliśmy się ufać ikonie kłódki, która pojawia się na pasku adresu naszych przeglądarek. Powiedziano nam, że to znak, że nasza komunikacja ze stroną jest bezpieczna. Ale incydent w tym tygodniu z udziałem Google i tureckiej firmy ochroniarskiej przeczy temu.

Firma TurkTrust ujawniła w tym tygodniu, że w sierpniu 2011 r. Przypadkowo wydała dwa klucze główne do dwóch "podmiotów". Klucze główne, które nazywane są certyfikatami pośrednimi, umożliwiają podmiotom tworzenie certyfikatów cyfrowych dla dowolnej domeny w Internecie.

Certyfikaty cyfrowe są w rzeczywistości kluczami szyfrowania używanymi do sprawdzania, czy strona internetowa jest tym, czym jest. Na przykład certyfikat dla Twojego banku weryfikuje przeglądarkę, że faktycznie rozmawiasz z bankiem, gdy robisz bankowość online.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Używane są certyfikaty do szyfrowania informacji między tobą a witryną. To właśnie oznacza zielona kłódka na pasku adresu przeglądarki. Przeglądarka komunikuje się z witryną za pomocą protokołu Secure Sockets Layer, po zweryfikowaniu jej autentyczności.

Internet niezgodny z fałszywym certyfikatem, który może przechwycić komunikację między tobą a zaufaną witryną internetową może zmylić twoją przeglądarkę, aby uwierzyła, że ​​komunikuje się z zaufaną stroną i porwać twoją komunikację. To się nazywa "człowiek w średnim ataku", ponieważ złodziej siedzi między tobą a zaufaną stroną.

Naprawiony błąd, problem trwa

Błąd firmy TurkTust został wykryty przez Google w Wigilię przez funkcję, którą ma w przeglądarce Chrome platforma, która podnosi czerwoną flagę do Google, gdy ktoś próbuje korzystać z platformy za pomocą nieautoryzowanego certyfikatu.

Po wykryciu problemu z certyfikatem, Google poinformowało TurkTrust o zaistniałej sytuacji, a także Microsoft i Mozillę, które zmodyfikowały swoje platformy przeglądarki blokować nieuczciwe certyfikaty utworzone w pośrednim urzędzie certyfikacji.

Ten certyfikat snafu to tylko najnowszy znak, że istniejący system wydawania certyfikatów cyfrowych wymaga naprawy. Na przykład w marcu 2011 r. Firma powiązana z organem wydającym certyfikaty Comodo została naruszona i wydano dziewięć fałszywych certyfikatów.

Później w tym samym roku hakerzy naruszyli holenderski urząd certyfikacji, DigiNotar, i wydali dziesiątki fałszywych certyfikatów, w tym jeden dla Google. Straty z tego incydentu spowodowały, że firma przestała działać.

Poszukiwany: ochrona następnej generacji

Zostało wyemitowanych wiele propozycji rozwiązań problemów związanych z certyfikatami.

Istnieje konwergencja. Pozwala przeglądarce uzyskać drugą opinię o certyfikacie ze źródła wybranego przez użytkownika. "To błyskotliwy pomysł, ale jak tylko dostaniesz się do sieci firmowej, a ty jesteś za proxy lub za tłumaczem sieciowym, może się zepsuć", powiedział w wywiadzie Chet Wiśniewski, doradca ds. Bezpieczeństwa z Sophos.

Jest DNSSEC. Korzysta z systemu rozpoznawania nazw domen - systemu, który zamienia popularne nazwy witryn na liczby - w celu utworzenia zaufanego połączenia między użytkownikiem a witryną. System nie tylko nie jest łatwy do zrozumienia, ale wdrożenie może zająć wiele lat.

"Problem z DNSSEC polega na tym, że wymaga wdrożenia nowej technologii i skoordynowanej modernizacji infrastruktury, zanim będziemy mogli z niej skorzystać" - powiedział Wiśniewski. "Biorąc pod uwagę wskaźniki rozpowszechnienia, które widzieliśmy do tej pory, oznacza to, że nie będziemy mieli rozwiązania przez dziesięć czy piętnaście lat." To nie wystarczy.

Proponowane są również dwie techniki "przypinania" - przypinanie za pomocą klucza publicznego Rozszerzenie dla HTTP i zaufanych asercji dla kluczy certyfikatów (TACK), które są podobne.

Pozwalają stronie internetowej na zmianę nagłówka HTTP, aby zidentyfikować urzędy certyfikacji, którym ufa. Przeglądarka może przechowywać te informacje i nawiązywać połączenia z witryną tylko wtedy, gdy otrzyma certyfikat podpisany przez urząd certyfikacji zaufany przez stronę internetową.

Zgodnie z twierdzeniem Wiśniewskiego, najprawdopodobniej zostaną przyjęte wnioski o przypieczętowanie problemu z certyfikatem. "Mogą zostać przyjęte w krótkim czasie" - powiedział. "Pozwalają od razu użytkownikom, którzy chcą skorzystać z zaawansowanych zabezpieczeń, ale nie łamią żadnej istniejącej przeglądarki internetowej, która nie jest aktualizowana."

Niezależnie od tego, którzy twórcy przeglądarek ustawią się w celu rozwiązania problemu z certyfikatem, muszą rób to szybko. W przeciwnym razie snafus będzie nadal się rozprzestrzeniał, a zaufanie do Internetu może zostać nieodwracalnie uszkodzone.