Yönlendirmeli güvenlik sertifikaları SSL güvenilirliği sorusunu artırıyor

Tüketiciler olarak, tarayıcılarımızın adres çubuğunda görünen asma kilit simgesine güvenmeyi öğrettik. Bir web sitesiyle iletişimimizin güvenli olduğuna dair bir işaret olduğunu söyledik. Ancak bu haftaki bir Google ve bir Türk güvenlik şirketini ilgilendiren bir olay, bu düşünceye inanıyor.

Şirket, TürkTrust, bu hafta Ağustos 2011'de iki "anahtar" için iki ana anahtarın yanlışlıkla verildiğini açıkladı. Ara sertifikalar olarak adlandırılan ana anahtarlar, varlıkların Internet'teki herhangi bir etki alanı için dijital sertifikalar oluşturmasına izin verir.

Dijital sertifikalar aslında bir web sitesinin doğruyu söylediğini doğrulamak için kullanılan şifreleme anahtarlarıdır. Bankanızın sertifikası, örneğin, bankacılığınızı bankanızla konuştuğunuz internet bankacılığı yaptığınızda doğrular.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl temizlenir]

Sertifikalar kullanılır. Siz ve bir web sitesi arasındaki bilgileri şifrelemek için. Tarayıcınızın adres çubuğundaki yeşil asma kilit budur. Tarayıcı, güvenilirliğini doğruladıktan sonra Güvenli Yuva Katmanı kullanarak web sitesiyle iletişim kuruyor.

Sizinle güvenilir bir web sitesi arasındaki iletişimi engelleyebilen sahte bir sertifikayla bir İnternet miscreant'ı, tarayıcınızı güvenilir siteyle iletişim kurduğuna inanmaya zorlayabilir. ve iletişiminizi kaçırmayın. Bu, "orta saldırıdaki adam" denir çünkü hırsız siz ve güvenilen site arasında oturur.

Hata düzeltildi, sorun devam ediyor

TurkTust'ın hatası, Google Chrome tarafından Chrome tarayıcısında sahip olduğu bir özellik tarafından keşfedildi Bir kişi platformu yetkisiz bir sertifika ile kullanmaya çalıştığında, kırmızı bir bayrağı Google'a yükselten platform.

Sertifika sorununu keşfettikten sonra Google, tarayıcı platformlarını değiştiren Microsoft ve Mozilla'nın yanı sıra durumun TürkTrust'unu da bildirdi. Ara sertifika yetkilisi ile oluşturulmuş haydut sertifikalarını engellemek.

Bu sertifika snafu, mevcut dijital sertifika verme sisteminin onarılması gereken en son işarettir. 2011 yılının Mart ayında, örneğin, sertifika veren yetkilisi Comodo'ya bağlı bir şirket ihlal edildi ve dokuz sahte sertifika çıkarıldı.

Daha sonraki yıllarda, bilgisayar korsanları Hollandalı bir sertifika yetkilisini (DigiNotar) ihlal etti ve bir tanesi de dahil olmak üzere düzinelerce sahte sertifika verdi. Google. Bu olaydan çıkarılan şirket işten çıkarıldı.

Wanted: Next-gen security

Sertifikaları çevreleyen güvenlik sorunlarını çözmek için bir dizi teklif yayınlandı.

Yakınsama var. Bir kullanıcının bir kullanıcı tarafından seçilen bir kaynaktan sertifika hakkında ikinci bir fikre sahip olmasını sağlar. Sophos ile bir güvenlik danışmanı olan Chet Wisniewski, bir röportajda şunları söyledi: "Bu bir kurumsal ağa kavuştuğunuzda ve bir proxy arkasında ya da bir ağ çevirmeninin ardında kaldığınızda, bu bir kırılma fikridir. > DNSSEC var. Kullanıcı ve web sitesi arasında güvenilir bir bağlantı oluşturmak için, web sitelerinin ortak adlarını sayılara dönüştüren alan adlandırma çözümleme sistemini kullanır. Sistemin anlaşılması kolay değil, aynı zamanda uygulama yıllar alabilir.

"DNSSEC ile ilgili sorun, bundan yararlanabilmek için yeni bir teknolojinin ve altyapının koordineli bir şekilde yükseltilmesini gerektirmesi gerektiğidir." Dedi. "Şimdiye kadar gördüğümüz evlatlık oranları, on ya da 15 yıl boyunca yerinde bir çözüme sahip olmayacağımız anlamına geliyor. Bu yeterince iyi değil."

Ayrıca önerilen iki "pinning" tekniği-Public Key Pinning Benzer olan Sertifika Anahtarları (TACK) için HTTP ve Güvenilir Sertifikalar için Uzantı.

Bir web sitesinin, güvendiği sertifika yetkililerini tanımlamak için bir HTTP üstbilgisini değiştirmesine izin verir. Bir tarayıcı bu bilgileri depolar ve yalnızca web sitesi tarafından güvenilen bir sertifika yetkilisi tarafından imzalanmış bir sertifika alırsa bir web sitesine bağlantı kurar.

Wisniewski'ye göre, iğneleme teklifleri sertifika sorununu iyileştirmek için kabul edilmesi en muhtemel nedenler. “Kısa sırayla kabul edilebilirler” dedi. "Gelişmiş güvenlikten faydalanmak isteyen kullanıcılara bu kadar çabuk ulaşabilmelerine izin veriyorlar, ancak güncellenmiş olmayan herhangi bir web tarayıcısını kırmıyor."

Tarayıcı yapıcıları sertifika sorununu ele almak için her türlü evreni benimserler. Yakında yap. Aksi takdirde, snafus çoğalmaya ve internete güvenmeye devam ederse, onarılamayacak şekilde zarar görebilir.