Mga nalalapit na mga sertipiko ng seguridad na nagtataas ng tanong ng pagiging maaasahan ng SSL

Bilang mga mamimili, natuturuan kami na magtiwala sa icon ng padlock na lumilitaw sa address bar ng aming mga browser. Sinabihan kami na ito ay isang pag-sign ang aming komunikasyon sa isang website ay ligtas. Ngunit isang insidente sa linggong ito na kinasasangkutan ng Google at isang kumpanya ng seguridad ng Turkey ay nagbabala na ang paniwala.

Ang kumpanya, TurkTrust, ay nagpahayag sa linggong ito na noong Agosto 2011 ito ay hindi sinasadyang inisyu sa dalawang master key sa dalawang "entity". Ang mga master key, na tinatawag na mga intermediate na sertipiko, ay nagbibigay-daan sa mga entity na lumikha ng mga digital na sertipiko para sa anumang domain sa Internet.

Ang mga digital na sertipiko ay talagang mga key ng pag-encrypt na ginagamit upang ma-verify ang isang website ay kung ano ang sinasabi nito. Ang sertipiko para sa iyong bangko, halimbawa, ay nagpapatunay sa iyong browser na aktwal mong nakikipag-usap sa iyong bangko kapag ikaw ay online banking.

[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC]

Mga sertipiko ay ginagamit upang i-encrypt ang impormasyon sa pagitan mo at ng isang website, masyadong. Iyan ay kung ano ang ibig sabihin ng berdeng padlock sa address bar ng iyong browser. Ang browser ay nakikipagtalastasan sa website gamit ang Secure Sockets Layer, pagkatapos ng pagpapatunay ng pagiging tunay nito.

Isang mali sa Internet na may isang maliwanag na sertipiko na maaaring makahadlang sa komunikasyon sa pagitan mo at ng isang pinagkakatiwalaang website ay maaaring magwasak ng iyong browser sa paniniwala na nakikipag-usap ito sa pinagkakatiwalaang site at i-hijack ang iyong komunikasyon.

Error fixed, problema patuloy

Ang pagkakamali ng TurkTust ay natuklasan ng Google sa Bisperas ng Pasko sa pamamagitan ng isang tampok na mayroon ito sa kanyang Chrome browser platform na nagpapataas ng isang pulang bandila sa Google kapag sinubukan ng isang tao na gumamit ng platform na may hindi awtorisadong sertipiko.

Matapos matuklasan ang problema sa sertipiko, ipinaalam ng Google ang TurkTrust ng sitwasyon, pati na rin ang Microsoft at Mozilla, na binago ang lahat ng kanilang mga platform ng browser upang i-block ang mga nakalulungkot na sertipiko na nilikha gamit ang intermediate na awtoridad ng sertipiko.

Snafu certificate na ito ay lamang ang pinakabagong pag-sign na ang umiiral na sistema ng issuing digital na mga sertipiko ay nangangailangan ng mending. Sa Marso 2011, halimbawa, ang isang kumpanya na kaakibat ng sertipiko na nagbigay ng awtoridad na Comodo ay nilabag at siyam na mga sertipiko ng pagkakamali na ibinigay.

Sa bandang huli ng taon, nilabag ng mga hacker ang awtoridad ng awtoridad ng Dutch, DigiNotar, at nag-isyu ng dose-dosenang mga sertipiko ng bogus, kabilang ang isa para sa Google.

Wanted: Next-gen security

Ang ilang mga panukala ay na-aired upang matugunan ang mga problema sa seguridad na nakapalibot sa mga sertipiko.

May Convergence. Pinapayagan nito ang isang browser na makakuha ng pangalawang opinyon tungkol sa isang sertipiko mula sa pinagmulan na pinili ng isang gumagamit. "Ito ay isang napakatalino ideya, ngunit sa sandaling makuha mo ang isang corporate network at ikaw ay sa likod ng isang proxy o sa likod ng isang tagasalin ng network, maaari itong masira," Chet Wisniewski, isang tagapayo sa seguridad sa Sophos, sinabi sa isang pakikipanayam. > May DNSSEC. Ginagamit nito ang sistema ng resolusyon sa pagpapangalan sa domain-ang sistema na lumiliko sa mga karaniwang pangalan ng mga website sa mga numero-upang lumikha ng isang pinagkakatiwalaang link sa pagitan ng user at website.

"Ang problema sa DNSSEC ay nangangailangan ng pagpapatupad ng isang bagong teknolohiya at isang coordinated upgrade ng imprastraktura bago natin mapakinabangan ito," sabi ni Wisniewski. "Sa pamamagitan ng mga rate ng pag-aampon na aming nakita sa ngayon ay nangangahulugang hindi kami magkakaroon ng solusyon sa lugar para sa sampung o 15 taon. Hindi sapat iyon."

Ipinanukalang din ang dalawang "pinning" techniques-Public Key Pinning Extension para sa HTTP at Trusted Assertions para sa Certificate Keys (TACK), na katulad.

Pinapayagan nila ang isang website na baguhin ang isang header ng HTTP upang makilala ang mga awtoridad ng sertipiko na pinagkakatiwalaan nito. Ang isang browser ay mag-iimbak ng impormasyong iyon at magtatatag lamang ng isang koneksyon sa isang website kung ito ay tumatanggap ng isang sertipiko na nilagdaan ng isang awtoridad ng sertipiko na pinagkakatiwalaang sa website.

Ang pinning na panukala ay ang pinaka-malamang na pinagtibay upang pagalingin ang problema sa sertipiko, ayon kay Wisniewski. "Maaaring sila ay pinagtibay sa maikling order," sinabi niya. "Pinahihintulutan nila ang mga taong nais samantalahin ang mga advanced na seguridad upang magawa ito kaagad, ngunit hindi ito masira ang anumang umiiral na web browser na hindi na-update."

Anumang pamamaraan ng mga gumagawa ng browser na nagpapatupad upang tugunan ang problema sa sertipiko, kailangan nila gawin ito sa lalong madaling panahon. Kung hindi man, ang snafus ay magpapatuloy na lumaganap at ang tiwala sa Internet ay maaaring hindi masisira.