System certyfikatów SSL - czas na zmiany
Ekspert od spraw bezpieczeństwa Moxie Marlinspike uważa, że centrom autoryzacyjnym takim jak Comodo, których skuteczność zabezpieczeń została podważona przez hakerów, nie powinno się bezgranicznie ufać, a sposób w jaki pracuje cały dzisiejszy przemysł certyfikatów SSL powinien być zmieniony na coś bardziej elastycznego.
ConvergenceProjekt Convergence ma radykalnie zmienić obecną sytuację, kiedy to uwierzytelnienie serwisów internetowych opiera się na certyfikatach SSL poświadczanych przez centra autoryzacyjne rozpoznawane jako zaufane przez przeglądarkę internetową - ich lista jest z góry ustalana przez dostawcę przeglądarki. W ramach istniejącego systemu, zaufanie jest więc określone przez przypisanie do przeglądarki głównego ośrodka certyfikacji, a to oznacza, że na sztywno zamknięte w tej relacji.
Zobacz też: SSL: Notariaty - nowe podejście do weryfikacji certyfikatów
Marlinspike uważa, że cały ten system - stanowiący dzisiaj podstawę działania całkiem sporego biznesu wydawania poświadczeń - powinien być zaniechany na rzecz idei bardziej bezpośredniego kontrolowania przez użytkownika komu ma ufać przeglądarka, opierającej się na pomyśle tzw. "notariatów", na okrągło sprawdzających i rejestrujących jakie certyfikaty prezentują serwery webowe. Przeglądarka po otrzymaniu certyfikatu SSL z serwera prosi notariat o sprawdzenie czy certyfikat otrzymany z serwera był regularnie prezentowany w jakimś okresie czasu. Jeżeli tak, to jest to podstawa do uznania, że jest to prawidłowy certyfikat dla tej witryny.
Polecamy: Kiepskie zabezpieczenia kosztują więcej
Aby skorzystać z rozwiązania Marlinspike'a, użytkownik potrzebuje wtyczki Convergence do Firefoxa. Pierwszy notariat ustaowił Marlinspike, ale dzisiaj jest to już ponad 50 notariatów Convergence, w tym prowadzonych przez Electronic Frontier Foundation oraz firmę Qualys, dostawcę zabezpieczeń. Pomysł polega na tym, że notariaty systemu Convergence - wybierane przez użytkowników samodzielnie - elektronicznie informują czy certyfikat SSL jest autentyczny, a autentyczność certyfikatu weryfikowana jest statystycznie. Szacuje się, że dzisiaj z systemu Convergence korzysta już ok. 30 tys. użytkowników.
Komentarze (2)
Na samym początku artykułu znajduje się link do tego projektu (i wtyczki). Pozdrawiamy
a jaka to wtyczka do FF ktora to obsluguje ?? mam nadzieje ze to zaopatrza nastepne ver ff :)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
- Microsoft Office 15 będzie obsługiwał standard ODF 1.2
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...