ÚTbiztonsági tanúsítványok felvetik az SSL megbízhatóság kérdését

A fogyasztóktól azt tanítottuk, hogy megbízik a böngészőjük címsorában megjelenő lakat ikonnal. Azt mondják, hogy ez egy jel, hogy a weboldalunkkal való kommunikáció biztonságos. A héten a Google és a török ​​biztonsági vállalat figyelmen kívül hagyta ezt a gondolatot.

A cég, a TurkTrust, rámutatott erre a hétre, hogy 2011 augusztusában véletlenül két fő kulcsot bocsátott ki két "entitásra". A mester kulcsok, amelyeket köztes tanúsítványnak hívnak, lehetővé teszik az entitások számára, hogy digitális tanúsítványokat hozzanak létre az internet bármely tartományához.

A digitális tanúsítványok valójában a titkosítási kulcsok, amiket a weboldal igazolására használnak. A banki tanúsítvány például ellenőrzi a böngésződben, hogy az online banki tevékenység során valóban beszél a bankoddal.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

Tanúsítványok használatosak titkosítja az Ön és egy weboldal közötti információt. Ez az, amit a zöld lakat a böngésző címsorában jelent. A böngésző a Secure Sockets Layer használatával kommunikál a webhellyel a hitelesség ellenőrzése után.

A hamis bizonyítványt tartalmazó internetes hibás tanúsítvány, amely megakadályozza a kommunikációt Ön és egy megbízható webhely között, meggondolhatja a böngészőjét abban, hogy úgy gondolja, hogy kommunikál a megbízható webhelyről és eltérítse a kommunikációt. Ezt hívják "embernek a középső támadásban", mert a tolvaj az Ön és a megbízható webhely között ül.

Hiba történt, a probléma továbbra is fennáll

A TurkTust hibáját a karácsonykor fedezte fel a Google a Chrome böngészőjében amely piros zászlót felvet a Google-nak, ha valaki megpróbálja használni a platformot illetéktelen tanúsítvánnyal

A tanúsítvány problémájának felfedezése után a Google tájékoztatta a TurkTrust-ot a helyzetről, valamint a Microsoft és a Mozilla, akik mind módosították a böngésző platformjaikat hogy blokkolja a közbenső tanúsító hatóság által létrehozott gazember-tanúsítványokat.

Ez a tanúsítvány csak a legújabb bizonyíték, hogy a digitális tanúsítványok kiállításának jelenlegi rendszere javításra szorul. 2011 márciusában például egy, a Comodo tanúsítványt kiadó hatósággal társult vállalatot megsértettek és kilenc hamis tanúsítványt bocsátottak ki.

Az év végén a hackerek megsértették a holland tanúsító hatóságot, a DigiNotar-ot, és több tucat hamis tanúsítványt bocsátottak ki, köztük egy Google. Az incidens következményei miatt a vállalat nem működött.

Wanted: Next-gen security

Számos javaslatot sugalltak a tanúsítványokkal kapcsolatos biztonsági problémák kezelésére.

There is Convergence. Lehetővé teszi, hogy a böngésző második véleményt kapjon egy felhasználó által kiválasztott forrásról. "Ez egy ragyogó ötlet, de amint vállalati hálózatot kap, és egy proxy mögött vagy egy hálózati fordító mögött van, akkor megszakadhat" - mondta egy interjúban Chet Wisniewski, a biztonsági tanácsadó a Sophos-szal. > Van DNSSEC. Használja a tartománynevezési felbontást - a rendszert, amely a weboldalak közös nevét számokká alakítja - megbízható kapcsolatot hoz létre a felhasználó és a webhely között. Nem csak a rendszer nem könnyű megérteni, de a végrehajtás évekig tarthat.

"A DNSSEC problémája az, hogy új technológiát kell bevezetnünk és koordinált infrastruktúrát kell fejlesztenünk, mielőtt kihasználnánk azt" - mondta Wisniewski. "Az eddig elfogadott elfogadási arányokkal ez azt jelenti, hogy nem lesz megoldásunk tíz vagy tizenöt éven át, ez nem elég jó."

Ugyancsak javasolt két "pinning" technika - Public Key Pinning Probléma a HTTP és a Trusted Asserances for Certificate Keys (TACK) számára, amelyek hasonlóak.

Lehetővé teszik egy webhely számára, hogy módosítsa a HTTP fejlécet azon tanúsító hatóságok azonosítására, amelyekre bízik. A böngésző ezeket az információkat tárolja, és csak akkor hoz létre kapcsolatot egy webhellyel, ha a tanúsítványt a webhely által megbízott hitelesítő hatóság írta alá.

A rögzítési javaslatok a legvalószínűbbek a tanúsítási probléma kiküszöbölésére, Wisniewski szerint. "Röviden tudták elfogadni őket" - mondta. "Lehetővé teszik az olyan felhasználók számára, akik szeretnék kihasználni a fejlett biztonság előnyeit, hogy ezt azonnal elvégezzék, de nem szünteti meg azokat a meglévő internetes böngészőt, amelyet nem frissítettek."

Bármely rendszer, amelyet a böngészők készek a tanúsítási probléma megoldására, tegye meg hamarosan. Ellenkező esetben a sóder folytatódni fog, és az interneten történő bizalom helyrehozhatatlan kárt okozhat.