Tarayıcı Sertifikası Sertifikalarına Uyanık Olun DNS Kusurundan Kaynaklanıyor

Birkaç gün önce, insan tarafından okunabilir adlardan arama işlemini makine tarafından işlenmiş Internet Protokolü (IP) adreslerine işleyen Etki Alanı Adı Hizmeti (DNS) protokolünde temel bir kusur yazdım. Tüm okurlara savunmasızlıklarını belirleme ve eyleme geçme konusunda tavsiyelerde bulunma

Bununla birlikte geçmem gereken bir uyarı daha var. Bu kusur, bir saldırganın sisteminizi gönderilmemiş bir DNS sunucusuna bağlandığı herkes için DNS'yi zehirlemesine izin verdiğinden, bir saldırgan da şifreli Web oturumlarına yerleşik bir korumayı atlayabilir.

Web şifreleme SSL / TLS'yi kullanır (Güvenli Yuva Katmanı / Aktarım Katmanı) Güvenlik), tarayıcınızın güvenli bir bağlantı için tarayıcının sadece diğer taraftaki doğru tarafa bağlandığından emin olmak için üç yönteme dayanan bir standart.

[Daha fazla okuma: Medya akışı ve yedekleme için en iyi NAS kutuları]

İlk SSL / TLS kullanan her Web sunucusunda, sunucu veya grup sertifikası başına bir sertifika bulunmalıdır. Bu sertifika sunucuyu tanımlar.

İkinci olarak, sertifika sunucunun etki alanı adını bağlar. Www.infoworld.com için bir sertifika alabilir ve www.pcworld.com ile kullanabilirsiniz.

Üçüncü olarak, belirli bir alan adı için sertifikayı isteyen tarafın kimliği bir sertifika yetkilisi tarafından doğrulanır. Böyle bir otorite işleten bir firma, sertifika talep eden kişi ve şirketin kimliğini doğrular ve daha sonra kriptografik olarak kendisine bağlı olan nimetleriyle bir sertifika oluşturur. (Daha yüksek doğrulama seviyeleri şimdi mevcuttur; bu nedenle, Internet Explorer ve Firefox'un son sürümlerinden oluşan geniş bir yeşil alan görüyorsunuz, bu da genişletilmiş validasyonun gerçekleştirildiğini gösterir.)

Bu sertifika yetkililerinin kendileri kimliklerini kanıtlayan ve tarayıcılarda ve işletim sistemlerinde önceden yüklenmiş olan sertifikalar kümesi. Bir Web sunucusuna bağlandığınızda, tarayıcınız bir oturuma başlamadan önce genel sertifikayı alır, IP adresi ve etki alanı adının eşleştiğini, sertifikanın bütünlüğünü doğruladığını ve sonra geçerliliği için yetki imzasını denetlediğini onaylar.

herhangi bir test başarısız olursa, tarayıcınız tarafından uyarılırsınız. DNS hatasıyla, bir saldırgan bankacılık veya e-ticaret oturumunuzu çeşitli firmalar tarafından çalıştırılan taklit edilmiş güvenli sitelerine yönlendirebilir ve tarayıcınız IP adres farkını fark etmeyebilir, çünkü sahte sertifikanın etki alanı adı IP ile eşleşecektir. saldırganın eklediği adres.

Ancak, tarayıcınız eklenmiş güvenilir bir sertifika yetkilisi imzasının olmadığını kaydeder. (Şimdiye kadar, bu yetkililerin DNS mühendisliği ile bağlanmış olan herhangi bir başarılı sosyal mühendislik raporları yoktur.) Tarayıcınız size sertifikanın kendinden imzalı olduğunu söyler, yani saldırgan bir kısayol kullandı ve bir otoritenin imzasını attı, ya da saldırganın kendisinin yarattığı güvenilir olmayan bir otorite kullandı. (Açık kaynak araçlarını kullanarak bir otorite yaratmanın önemi yoktur, bu da şirketler ve organizasyonlar için faydalıdır. Kendim yaptım. Ancak bu makineler üzerinde ayrı ayrı bir sertifika yüklemediğiniz sürece, bu bağımsız yetkililer tarayıcılar tarafından doğrulanmaz..)

Buradaki uyarım, tarayıcınızdan herhangi bir sertifika veya SSL / TLS uyarısı alırsanız, bağlantıyı durdurun, ISS'nizi veya BT departmanınızı arayın ve herhangi bir kişisel veya şirket bilgisi girmeyin.