Предупреждение об отзыве сертификатов браузера из-за ошибки DNS

Несколько дней назад я написал о фундаментальном недостатке протокола DNS (Domain Name Service), который обрабатывает поиск с человекочитаемых имен в обрабатываемые машинным образом IP-адреса, советуя всем читателям определить их уязвимость и принять меры.

Однако есть еще одно предупреждение, которое я должен передать. Поскольку этот недостаток позволяет злоумышленнику отравить DNS для всех, чья система подключается к незагруженному DNS-серверу, злоумышленник также может обойти защиту, встроенную в зашифрованные веб-сеансы.

В веб-шифровании используется SSL / TLS (Secure Sockets Layer / Transport Layer Security), стандарт, который опирается на три метода, чтобы убедиться, что ваш браузер подключается только к правильной стороне на другом конце для защищенной ссылки.

[Дальнейшее чтение: лучшие NAS-боксы для потоковой передачи и резервного копирования мультимедиа]

Сначала, каждый веб-сервер, использующий SSL / TLS, должен иметь сертификат, один на сервер или групповой сертификат. Этот сертификат идентифицирует сервер.

Во-вторых, сертификат связывает доменное имя сервера. Вы можете получить сертификат на www.infoworld.com и использовать его с www.pcworld.com.

В-третьих, удостоверение личности стороны, запрашивающей сертификат для данного доменного имени, проверяется центром сертификации. Фирма, которая управляет таким органом, проверяет личность человека и компанию, запрашивающую сертификат, а затем создает сертификат с их криптографическим связыванием в нем. (Теперь доступны более высокие уровни валидации, поэтому вы видите большую зеленую зону в местоположении, хранящемся в последних версиях Internet Explorer и Firefox, что указывает на то, что расширенная проверка была выполнена.)

Эти сами сертификационные органы имеют набор сертификатов, подтверждающих их личность, и которые предварительно установлены в браузерах и операционных системах. Когда вы подключаетесь к веб-серверу, ваш браузер получает открытый сертификат перед началом сеанса, подтверждает, что IP-адрес и имя домена совпадают, проверяет целостность сертификата, а затем проверяет подпись полномочий на его достоверность.

Если любой тест не удается, вы предупреждаетесь о своем браузере. С недостатком DNS злоумышленник может перенаправить вашу банковскую или электронную торговлю на свои имитированные версии защищенных сайтов, которые работают разными фирмами, и ваш браузер не будет замечать разницу в IP-адресах, поскольку имя домена в фиктивном сертификате будет соответствовать IP-адресу адрес, который атакующий насадил.

Однако в вашем браузере обратите внимание, что подпись доверенных сертификатов отсутствует. (До сих пор нет сообщений о какой-либо успешной социальной инженерии этих властей, связанных с недостатком DNS.) В вашем браузере будет указано, что сертификат был подписан сам по себе, то есть злоумышленник использовал ярлык и исключил подпись органа власти или использовал ненадежный авторитет, созданный самим злоумышленником. (Тривиально создавать полномочия с использованием инструментов с открытым исходным кодом, и это полезно в компаниях и организациях. Я сделал это сам. Но эти независимые органы не проверяются браузерами, если вы отдельно не устанавливаете сертификат на этих машинах вручную.)

Мое предупреждение состоит в том, что если вы получаете какой-либо сертификат или предупреждение SSL / TLS из своего браузера, остановите соединение, позвоните в отдел ISP или ИТ и не вводите никаких личных или корпоративных данных.