Sinusunod ang Mga Babala sa Certificate ng Browser Dahil sa DNS Flaw

Ilang araw na nakalipas, isinulat ko ang tungkol sa isang pangunahing kapintasan sa Domain Name Service (DNS) na protocol na humahawak sa lookup mula sa mga pangalan ng tao na nababasa sa machine-processed Internet Protocol (IP) address, pinapayuhan ang lahat ng mga mambabasa na tukuyin ang kanilang kahinaan at kumilos.

Gayunpaman, may isa pang babala na dapat kong ipasa. Dahil ang kapintasan na ito ay nagpapahintulot sa isang magsasalakay na lason ang DNS para sa sinuman na nag-uugnay sa isang hindi maayos na DNS server, ang isang magsasalakay ay maaari ring mag-bypass ng isang proteksyon na binuo sa naka-encrypt na mga sesyon sa Web.

Ang pag-encrypt ng web ay gumagamit ng SSL / TLS (Secure Sockets Layer / Transport Layer

[Karagdagang pagbabasa: Pinakamahusay na mga kahon ng NAS para sa streaming at backup ng media]

Una, ang bawat Web server na gumagamit ng SSL / TLS ay dapat magkaroon ng sertipiko, alinman sa bawat server o isang sertipiko ng grupo. Kinikilala ng sertipiko na ito ang server.

Pangalawa, ang certificate ay nagbubuklod sa pangalan ng domain ng server. Maaari kang makakuha ng isang sertipiko para sa www.infoworld.com at gamitin ito sa www.pcworld.com.

Ikatlo, ang pagkakakilanlan ng partido na humiling ng sertipiko para sa isang ibinigay na pangalan ng domain ay napatunayan ng awtoridad ng sertipiko. Ang isang kompanya na nagpapatakbo ng naturang awtoridad ay nagpapatunay sa pagkakakilanlan ng tao at kumpanya na humihiling ng isang sertipiko, at pagkatapos ay lumilikha ng isang sertipiko na may kanilang pagpapala na cryptographically nakatali sa ito. (Ang mas mataas na mga antas ng pagpapatunay ay magagamit na ngayon, na kung saan ay kung bakit nakikita mo ang isang malaking berdeng lugar sa lokasyon na isinampa ng mga pinakabagong bersyon ng Internet Explorer at Firefox, na nagpapahiwatig na ang pinalawig na pagpapatunay ay ginanap.)

set ng mga sertipiko na nagpapatunay ng kanilang pagkakakilanlan, at kung aling mga pre-install sa mga browser at operating system. Kapag nakakonekta ka sa isang Web server, kinukuha ng iyong browser ang pampublikong sertipiko bago simulan ang sesyon, nagpapatunay na ang IP address at domain name match, napatunayan ang integridad ng sertipiko, at pagkatapos ay sinusuri ang lagda ng awtoridad para sa validity nito.

Kung nabigo ang anumang pagsubok, binabalaan ka ng iyong browser. Sa pagkasira ng DNS, maaaring i-redirect ng magsasalakay ang iyong sesyon sa pagbabangko o ecommerce sa kanilang mga bersyon ng mga nakakasamang mga secure na site na pinapatakbo ng iba't ibang mga kumpanya, at ang iyong browser ay hindi mapapansin ang pagkakaiba sa IP address, dahil ang pangalan ng domain sa bogus certificate ay tutugma sa IP address na ang nagtataglay ay nakatanim.

Gayunpaman, ang iyong browser ay tandaan na walang pinagkakatiwalaang awtoridad ng pirma ng awtoridad na naka-attach. (Sa ngayon, walang mga ulat ng anumang matagumpay na sosyal na engineering ng mga awtoridad na nakatali sa kawalan ng DNS.) Sasabihin sa iyo ng iyong browser na ang sertipiko ay self-sign, ibig sabihin ang magsasalakay ay gumamit ng isang shortcut at iniwan ang lagda ng awtoridad, o gumamit ng isang hindi pinagkakatiwalaang awtoridad, na ang magsasalakay ang lumikha ng kanilang sarili. (Hindi mahalaga na lumikha ng isang awtoridad na gumagamit ng mga tool na bukas-pinagmulan, at ito ay kapaki-pakinabang sa loob ng mga kumpanya at organisasyon. Ginawa ko ito sa aking sarili Ngunit ang mga independiyenteng awtoridad ay hindi napatunayan ng mga browser maliban kung magkahiwalay kang mag-install ng sertipiko sa mga machine na iyon sa pamamagitan ng kamay.)

Ang aking babala dito ay kung makakuha ka ng anumang uri ng sertipiko o SSL / TLS babala mula sa iyong browser, itigil ang koneksyon, tumawag sa iyong ISP o kagawaran ng IT, at huwag magpasok ng anumang personal o kumpanya na impormasyon.