Wiadomości
SSL: Notariaty - nowe podejście do weryfikacji certyfikatów
TAGI:
uwierzytelnianie, SSL
Skuteczny atak hakera na Comodo i późniejsze wykorzystanie fałszywych certyfikatów pokazuje, że dotychczasowy model ich poświadczania nie do końca się sprawdza. Nowy model zaufania dla SSL ma być mniej podatny na ataki.
SSL - nowe podejście Polecamy:Jedna z propozycji o nazwie Perspectives, jest badana przez zespół z Carnegie Mellon University, inna, o nazwie Convergence, w Institute for Disruptive Studies zajmującym się m.in. zagadnieniami prywatności, anonimowości i bezpieczeństwa komputerowego.
Schematy te są do siebie podobne i zmierzają do przeniesienia uwierzytelniana serwerów zabezpieczonych protokołem SSL z ośrodków certyfikacji (CA) do nowych jednostek - "notariatów".
W dotychczas obowiązującym modelu, kiedy przeglądarka potrzebuje zestawić sesję SSL z serwerem, prosi o jego certyfikat. Przeglądarka weryfikuje autentyczność certyfikatu poprzez sprawdzenie czy został podpisany przez główny ośrodek certyfikacji, któremu ufa przeglądarka. W praktyce, przeglądarka może polegać na ośrodkach certyfikacji niższego szczebla, które są jednak ostatecznie poręczane przez ośrodek główny.
Polecamy: Kon trojański w komputerowej myszce
W takim modelu tworzy się łańcuch zaufania, który swój początek bierze w ośrodku głównym i rozgałęzia się na ośrodki, którym on ufa, aż do ośrodków, którym ufają te na niższych rozgałęzieniach. Jeżeli jakiekolwiek ogniwo tego łańcucha zaufania zostanie narażone, to napastnik może uzyskać możliwość dostarczania fałszywych certyfikatów dla witryn. Certyfikaty te mogą być używane do oszukania przeglądarki i ustawienia komunikacji przeglądarka-serwer w układzie umożliwiającym atak man-in-the-middle. Taki scenariusz miał miejsce podczas ataku na Comodo - haker włamał się do serwera jednego z partnerów firmy i uzyskał podpisy dziewięciu certyfikatów SSL (m.in. witryn Microsoftu, Yahoo i Google).
W modelu prezentowanym przez projekty Perspectives i Convergence, zamiast polegać na ośrodkach certyfikacji i głównym ośrodku certyfikacji, który przypisany jest do przeglądarki, zaufanie przenosi się na notariaty. Notariaty to serwery, które na bieżąco śledzą i rejestrują certyfikaty prezentowane przez serwery www. Jeśli przeglądarka odbierze certyfikat z serwera, nie szuka potwierdzenia czy certyfikat ten jest powiązany z głównym ośrodkiem certyfikatów, ale prosi notariat, aby sprawdził czy certyfikat otrzymany z serwera był regularnie widywany w jakimś okresie czasu. Jeżeli tak, to jest to podstawa do uznania, że jest to legalny certyfikat dla tej witryny.
Komentarze (0)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...