Успевающие сертификаты безопасности поднимают вопрос о надежности SSL

В качестве потребителей нас научили доверять значку замка, который отображается в адресной строке наших браузеров. Нам говорят, что это знак нашего общения с сайтом в безопасности. Но инцидент на этой неделе с участием Google и турецкой охранной компании опровергает это мнение.

Компания TurkTrust на этой неделе сообщила, что в августе 2011 года она случайно выдала два основных ключа двум «сущностям». Мастер-ключи, которые называются промежуточными сертификатами, позволяют сущностям создавать цифровые сертификаты для любого домена в Интернете.

Цифровые сертификаты - это фактически ключи шифрования, используемые для проверки веб-сайта, - это то, что он говорит. Например, сертификат для вашего банка подтверждает ваш браузер, что вы на самом деле разговариваете с вашим банком, когда вы делаете онлайн-банкинг.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Используются сертификаты для шифрования информации между вами и веб-сайтом. Это то, что означает зеленый висячий замок в адресной строке вашего браузера. Браузер взаимодействует с веб-сайтом с использованием Secure Sockets Layer после проверки его подлинности.

Интернет-злоумышленник с фиктивным сертификатом, который может перехватывать связь между вами и доверенным сайтом, может обмануть ваш браузер, полагая, что он общается с доверенным сайтом и захватить ваше сообщение. Это называется «человек в средней атаке», потому что вор сидит между вами и доверенным сайтом.

Исправлена ​​ошибка, проблема продолжалась

Ошибка TurkTust была обнаружена Google в канун Рождества благодаря функции, которую она имеет в браузере Chrome платформа, которая поднимает красный флаг в Google, когда кто-то пытается использовать платформу с несанкционированным сертификатом.

После обнаружения проблемы с сертификатом Google сообщил TurkTrust об этой ситуации, а также Microsoft и Mozilla, которые все модифицировали свои браузерные платформы чтобы заблокировать мошеннические сертификаты, созданные с помощью промежуточного центра сертификации.

Этот сертификат snafu - это только последний признак того, что существующая система выдачи цифровых сертификатов нуждается в исправлении. В марте 2011 года, например, компания, связанная с органом выдачи сертификатов Comodo, была нарушена и выдано девять фиктивных сертификатов.

Позднее в этом году хакеры нарушили нидерландский центр сертификации DigiNotar и выпустили десятки фиктивных сертификатов, в том числе один для Google. Последствия этого инцидента вывели компанию из бизнеса.

Wanted: безопасность следующего поколения

Был выпущен ряд предложений для решения проблем безопасности, связанных с сертификатами.

Есть конвергенция. Это позволяет браузеру получить второе мнение о сертификате из источника, выбранного пользователем. «Это блестящая идея, но, как только вы попадаете в корпоративную сеть, и вы находитесь за прокси-сервером или за сетевым переводчиком, он может сломаться», - сказал в интервью четвёртый советник по безопасности Sotos Чет Висневски.

Есть DNSSEC. Он использует систему разрешения имен доменов - систему, которая превращает общие имена веб-сайтов в числа - для создания надежной связи между пользователем и веб-сайтом.

«Проблема с DNSSEC заключается в необходимости внедрения новой технологии и скоординированного обновления инфраструктуры, прежде чем мы сможем ее использовать», - сказал Вишневский. «С коэффициентами принятия, которые мы видели до сих пор, это означает, что у нас не будет решения в течение десяти или 15 лет. Это не очень хорошо».

Также предлагаются две технологии «пиннинга» - Расширение для HTTP и доверенных утверждений для ключей сертификатов (TACK), которые похожи.

Они позволяют веб-сайту изменять HTTP-заголовок, чтобы идентифицировать доверенные сертификаты. Браузер сохранит эту информацию и только установит соединение с веб-сайтом, если получит сертификат, подписанный доверенным центром, центром сертификации.

По словам Вишневского, предложения о прикреплении наиболее вероятны для устранения проблемы с сертификатом. «Они могут быть приняты в короткие сроки, - сказал он. «Они позволяют людям, которые хотят воспользоваться преимуществами повышенной безопасности, сделать это сразу, но не нарушают существующий веб-браузер, который не обновляется».

Независимо от того, какие производители браузеров схемы принимают решение проблемы сертификата, они должны сделайте это в ближайшее время. В противном случае snafus будет продолжать распространяться, и доверие к Интернету может быть нанесено непоправимое вредоносное воздействие.