אישורי אבטחה מסוג Wayward מעלים שאלה לגבי מהימנות SSL

כצרכנים, אנחנו כבר לימדו לסמוך על סמל המנעול המופיע על שורת הכתובת של הדפדפנים שלנו. נאמר לנו שזה סימן לתקשורת שלנו עם אתר אינטרנט בטוח. אבל בשבוע שעבר התברר כי בחודש אוגוסט 2011 הוציאה בטעות שני מפתחות מאסטר לשני "ישויות". מפתחות מאסטר, הנקראים אישורי ביניים, מאפשרים לגופים ליצור אישורים דיגיטליים עבור כל תחום באינטרנט.

אישורים דיגיטליים הם למעשה מפתחות הצפנה המשמשים לאימות אתר אינטרנט, הוא מה שהוא אומר. האישור של הבנק שלך, לדוגמה, מאמת לדפדפן שלך שאתה בעצם מדבר עם הבנק שלך כאשר אתה עושה בנקאות מקוונת. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב Windows שלך]

אישורים משמשים כדי להצפין מידע בינך לבין אתר אינטרנט, יותר מדי. זה מה המנעול הירוק בשורת הכתובת של הדפדפן שלך אומר. הדפדפן שלך מתקשר עם האתר באמצעות Secure Sockets Layer, לאחר אימות של האותנטיות שלו.

Internet miscreant עם תעודה מזויפת שיכולה ליירט תקשורת בינך לבין אתר אינטרנט מהימן יכול להטעות את הדפדפן שלך מתוך אמונה שהוא מתקשר עם האתר המהימן ו לחטוף את התקשורת שלך. זה נקרא "אדם בהתקפה האמצעית", מפני שהגנב יושב בינך לבין האתר המהימן.

שגיאה קבועה, הבעיה נמשכת

Google טעה בטעותו של טריקטוסט על ידי Google בערב חג המולד על ידי תכונה שבה יש לה דפדפן Chrome הפלטפורמה מעלה דגל אדום ל- Google כאשר מישהו מנסה להשתמש בפלטפורמה עם אישור בלתי מורשה.

לאחר שגילתה את בעיית האישור, Google הודיעה ל- TurkTrust על המצב, כמו גם ל- Microsoft ול- Mozilla, אשר שינו את פלטפורמות הדפדפן שלהם כדי לחסום אישורים סוררים שנוצרו עם רשות האישורים הבינוניים.

אישור זה הוא רק הסימן האחרון שהמערכת הקיימת של הנפקת אישורים דיגיטליים זקוקה לתיקון. בחודש מרס 2011, למשל, פרצה חברה שהוזמנה עם רשות הנפקת התעודות וקומודו נפרצה ותשעה תעודות מזויפות.

מאוחר יותר השנה פרצו האקרים את רשות האישורים ההולנדית, DigiNotar, והנפיקו עשרות תעודות מזויפות, כולל אחת עבור Google. הנטייה של האירוע הזה הוציא את החברה מהעסקים.

מבוקש: אבטחה הבא אבטחה

מספר הצעות שודרו כדי לטפל בבעיות אבטחה סביב תעודות.

יש התכנסות. הוא מאפשר לדפדפן לקבל חוות דעת נוספת על אישור ממקור שנבחר על ידי משתמש. "זה רעיון מבריק, אבל ברגע שאתה מקבל על הרשת הארגונית ואתה מאחורי proxy או מאחורי מתרגם רשת, זה יכול לשבור", אמר צ'ט ויסנייבסקי, יועץ אבטחה עם Sophos, בראיון. > יש DNSSEC. היא משתמשת מערכת שמות תחום ההחלטה - המערכת שהופכת את השמות הנפוצים של אתרי אינטרנט למספרים - כדי ליצור קישור מהימן בין המשתמש לאתר. לא רק שהמערכת אינה קלה להבנה, אלא שיישומה עלול להימשך שנים רבות. "הבעיה עם DNSSEC דורשת יישום טכנולוגיה חדשה ושדרוג מתואם של התשתית לפני שנוכל לנצל אותה", אמר ויסנייבסקי. "עם שיעורי האימוץ שראינו עד כה, זה אומר שלא יהיה לנו פתרון במקום במשך עשר או 15 שנים, זה לא מספיק טוב".

מוצע גם שתי טכניקות "הצמדת" הרחבה עבור HTTP ואשמות מהימנות עבור מקשי אישור (TACK), הדומים.

הם מאפשרים לאתר אינטרנט לשנות כותרת HTTP כדי לזהות רשויות אישורים שהוא נותן בהם אמון. דפדפן יאחסן מידע זה וייקשר רק חיבור לאתר אינטרנט אם הוא מקבל אישור חתום על ידי רשות אישורים מהימן על ידי האתר.

ההצעות להצמיד הן הסיכוי הטוב ביותר להיות מאומץ כדי לרפא את הבעיה תעודת, על פי Wisniewski. "אפשר היה לאמץ אותם תוך זמן קצר, "אמר. "הם מאפשרים לאנשים שרוצים לנצל את האבטחה המתקדמת כדי לעשות זאת באופן מיידי, אבל זה לא לשבור כל דפדפן אינטרנט קיים זה לא מעודכן."

מה סכימת הדפדפן סכימה לאמץ את הבעיה אישור, הם צריכים לעשות את זה בקרוב. אחרת, snafus ימשיך להתרבות אמון באינטרנט עלול להיות נפגע ללא תקנה.