Sikkerhedscertifikater for sikkerhedsstillelse rejser spørgsmål om SSL-pålidelighed

Som forbrugere er vi blevet lært at stole på hængelåsikonet, der vises på adressefeltet i vores browsere. Vi får at vide, at det er et tegn, vores kommunikation med et websted er sikkert. Men en hændelse i denne uge, der involverer Google og et tyrkisk sikkerhedsfirma, tror på det.

Virksomheden, TurkTrust, afslørede i denne uge, at den i august 2011 ved et uheld udstedte to masternøgler til to "enheder". Hovednøgler, der kaldes mellemliggende certifikater, tillader enhederne at oprette digitale certifikater for ethvert domæne på internettet.

Digitale certifikater er faktisk krypteringsnøgler, der bruges til at verificere et websted, er, hvad det siger. Certifikatet for din bank bekræfter for eksempel til din browser, at du rent faktisk taler til din bank, når du gør online banking.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Certifikater bruges at kryptere oplysninger mellem dig og en hjemmeside også. Det betyder det grønne hængelås på din browser adresselinje. Browseren kommunikerer med hjemmesiden ved hjælp af Secure Sockets Layer efter verifikation af dens ægthed.

En internetmiscreant med et falsk certifikat, der kan aflytte kommunikationen mellem dig og en pålidelig hjemmeside, kan narre din browser til at tro, at den kommunikerer med det tillid til webstedet. og kapre din kommunikation. Det kaldes en "mand i midten angrebet", fordi tyven sidder mellem dig og det pålidelige websted.

Fejl rettet, problemet fortsætter

TurkTusts fejl blev opdaget af Google på julaften af ​​en funktion, som den har i sin Chrome browser platform, der rejser et rødt flag til Google, når nogen forsøger at bruge platformen med et uautoriseret certifikat.

Efter at have opdaget certifikatproblemet informerede Google TurkTrust om situationen, samt Microsoft og Mozilla, som alle har ændret deres browser platforme for at blokere slyngelcertifikater oprettet med mellemcertifikatmyndigheden.

Dette certifikat snafu er bare det sidste tegn på, at det eksisterende system til udstedelse af digitale certifikater skal repareres. I marts 2011 blev en virksomhed tilknyttet certifikatudstedende myndighed overtrådt og 9 falske certifikater udstedt.

Hackere overtrådte en hollandsk certificeringsmyndighed DigiNotar senere i året og udstedte dusinvis af falske certifikater, herunder en til Google. Nedfaldet af denne hændelse sætter virksomheden ude af drift.

Ønsket: Next-gen security

Der er sendt en række forslag til at løse sikkerhedsproblemerne omkring certifikater.

Der er konvergens. Det giver en browser mulighed for at få en anden mening om et certifikat fra en kilde valgt af en bruger. "Det er en brillant ide, men så snart du kommer på et firmanetværk, og du er bag en proxy eller bag en netværksoversætter, kan det gå i stykker", sagde Chet Wisniewski, en sikkerhedsrådgiver med Sophos, i et interview. > Der er DNSSEC. Det bruger domænenavnelsesopløsningssystemet - det system, der ændrer de almindelige navne på websteder til tal - for at skabe en pålidelig forbindelse mellem bruger og hjemmeside. Ikke alene er systemet ikke let at forstå, men implementeringen kan tage flere år.

"Problemet med DNSSEC er, at det kræver implementering af en ny teknologi og en koordineret opgradering af infrastruktur, før vi kan udnytte det," siger Wisniewski. "Med de vedtagelsessatser, som vi har set indtil videre, betyder det, at vi ikke har en løsning på plads i ti eller 15 år. Det er ikke godt nok."

Også foreslået er to "pinning" -teknikker-Public Key Pinning Udvidelse til HTTP og tillidskrav til certifikatnøgler (TACK), som er ens.

De tillader et websted at ændre en HTTP-header til at identificere certifikatmyndigheder, som den tillid til. En browser vil gemme denne information og kun etablere en forbindelse til en hjemmeside, hvis den modtager et certifikat underskrevet af en certifikatmyndighed, der er tillid til hjemmesiden.

Pinning-forslagene er mest sandsynligt at blive vedtaget for at helbrede certifikatproblemet, ifølge Wisniewski. "De kunne vedtages i kort rækkefølge," sagde han. "De tillader folk, der ønsker at udnytte avanceret sikkerhed til at gøre det med det samme, men det bryder ikke nogen eksisterende webbrowser, som ikke er opdateret."

Uanset hvilket program browser-beslutningstagere vedtager for at løse certifikatproblemet, skal de gør det snart Ellers vil snafus fortsætte med at sprede sig og tillid på internettet kan blive irreparabelt skadet.