Problema cu certificatul pe web
Cuprins:
În calitate de consumatori, am fost învățați să avem încredere în pictograma lacătului care apare pe bara de adrese a browserelor noastre. Ni sa spus că este un semn că comunicarea noastră cu un site web este în siguranță. Dar un incident din această săptămână care implică Google și o companie turcă de securitate contravine acestei noțiuni.
Compania, TurkTrust, a dezvăluit săptămâna aceasta că, în august 2011, a emis în mod accidental două chei principale către două "entități". Cheile principale, numite certificate intermediate, permit entităților să creeze certificate digitale pentru orice domeniu de pe Internet.
Certificatele digitale sunt de fapt cheile de criptare utilizate pentru a verifica dacă un site este ceea ce se spune că este. Certificatul pentru banca dvs., de exemplu, verifică în browser-ul dvs. că într-adevăr vorbiți cu banca dvs. atunci când faceți bancar online.
[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]pentru a cripta informații între dvs. și un site web. Asta inseamna lantul verde din bara de adrese a browserului. Browserul comunică cu site-ul web folosind Secure Sockets Layer, după verificarea autenticității acestuia.
Un client greșit al Internetului, cu un certificat fals, care poate intercepta comunicarea dintre dvs. și un site de încredere, vă poate bloca browserul pentru a crede că comunică cu site-ul de încredere și hijack comunicarea ta. Acesta este numit un "om în mijlocul atacului", deoarece hoțul se află între tine și site-ul de încredere.
Eroare rezolvată, problema continuă
Greseala lui TurkTust a fost descoperită de Google în ajunul Crăciunului de o caracteristică pe care o are în browserul său Chrome platformă care ridică un semn roșu la Google când cineva încearcă să utilizeze platforma cu un certificat neautorizat.
După ce a descoperit problema certificatului, Google a informat TurkTrust despre situație, precum și Microsoft și Mozilla, care au modificat toate platformele browserului pentru a bloca certificatele necinstite create cu autoritatea de certificare intermediară.
Acest certificat snafu este doar cel mai recent semn că sistemul existent de emitere a certificatelor digitale are nevoie de remediere. În martie 2011, de exemplu, o companie afiliată autorității emitente de certificate Comodo a fost încălcată și au fost emise nouă certificate false.
Mai târziu, hackerii au încălcat o autoritate de certificare olandeză, DigiNotar, și au emis zeci de certificate false, Google. Fallout-ul de la acel incident a scos compania din afacere.
Wanted: Next-gen de securitate
Un număr de propuneri au fost difuzate pentru a rezolva problemele de securitate legate de certificate. Acesta permite unui browser să obțină oa doua opinie despre un certificat dintr-o sursă aleasă de un utilizator. "Este o idee briliantă, dar imediat ce ajungi într-o rețea corporatistă și ești în spatele unui procuror sau în spatele unui traducător de rețea, acesta se poate rupe", a declarat Chet Wisniewski, consilier de securitate cu Sophos, într-un interviu. > Există DNSSEC. Utilizează sistemul de rezoluție a numelui de domeniu - sistemul care transformă denumirile comune ale site-urilor web în numere - pentru a crea o legătură de încredere între utilizator și site-ul Web. Nu numai că sistemul nu este ușor de înțeles, dar implementarea ar putea dura ani.
"Problema cu DNSSEC este necesitatea implementării unei noi tehnologii și a unei modernizări coordonate a infrastructurii înainte de a putea profita de ea", a spus Wisniewski. "Cu ratele de adopție pe care le-am văzut până acum înseamnă că nu vom avea o soluție în timp de zece sau cincisprezece ani."
De asemenea, sunt propuse două tehnici de "fixare" Extensie pentru HTTP și declarații de încredere pentru chei de certificate (TACK), care sunt similare.
Acestea permit unui site web să modifice un antet HTTP pentru a identifica autoritățile de certificare în care are încredere. Un browser ar stoca acele informații și va stabili o conexiune la un site web doar dacă primește un certificat semnat de o autoritate de certificare credibilă de site-ul Web.
Propunerile de apreciere sunt cele mai susceptibile de a fi adoptate pentru a vindeca problema certificatelor, potrivit lui Wisniewski. "Ar putea fi adoptate în ordine scurtă", a spus el. "Acestea permit oamenilor care doresc să profite de avantajele securității să facă acest lucru imediat, dar nu rupe nici un browser web existent care nu este actualizat".
Orice planificator adoptă schema de rezolvare a problemei certificatului, trebuie să faceți-o în curând. În caz contrar, snafus va continua să se prolifereze și încrederea pe Internet poate fi afectată iremediabil.
Avertismentele privind certificatele de siguranță nu funcționează, spun cercetătorii
Cercetătorii de la Carnegie Mellon spun că utilizatorii ignoră în mare măsură avertismentele " browserele se afișează uneori.
Până în prezent, Microsoft declară că a primit rapoarte despre "un număr mic de atacuri direcționate" folosind acest exploit. Producătorul de software lucrează la un patch de securitate pentru această problemă, dar compania nu a spus încă dacă va emite o actualizare de securitate cât mai curând posibil sau ca parte a ciclului lunar de actualizare a "patch-ului de marți". Următorul "patch marți" va fi 9 octombrie.
Explozia a fost făcută publică pe Proiectul Metasploit al companiei Rapid7 și descoperită pentru prima oară în sălbăticie de cercetătorul de securitate Eric Romang. Metasploit îi recomandă utilizatorilor să elimine IE până când Microsoft emite o actualizare de securitate. Noul defect de securitate IE a fost dezvoltat de același grup care a creat defectul de zi zero de la zero, conform Metasploit.
Cum să vizualizați și să verificați Certificatele de securitate în browserul Chrome
Browserul Google Chrome a mutat detaliile certificatului SSL pentru site-uri web în Instrumentele pentru dezvoltatori. Aflați cum să afișați, să verificați, să vizualizați acum Certificate de securitate