Будет ли сохранена система проверки SSL сертификатов?

Браузеры не всегда эффективно выполняют сертификационную проверку, такая система безопасности имеет много недостатков, и по словам представителей поставщиков браузеров, некоторые производители не используют ее совсем. Ведущие игроки этой сферы – Mozilla, Google, и Opera, предлагают все возможные решения такой проблемы с помощью введения проверки подлинности SSL сертификатов выданных сертификационными центрами.

В текущее время, сайты зависят от двух методов проверки надежности и статуса SSL сертификатов в сети. Первый метод касается просмотра списка отозванных сертификатов (CRL), который публикуется сертификационными центрами – все аннулированные сертификаты попадают в него и список периодически обновляется.

Другой – проверка статуса сертификата через интернет-протокол (OCSP) системы сертификации, который определяет состояние сертификата, установленного на сайте в браузере пользователя, когда он заходит на сайт.

Модератор панели Кирк Хол – операционный директор безопасности услуг Trend Micro, задает вопрос: “Почему такая система SSL сертификации продолжает использоваться?” “На первый взгляд система кажется совершенной? Все должно работать. Но это не так.”

Хол утверждает, что есть несколько причин почему CRLs и OCSP не работают на практике. “Первая причина в том, что CRL может не обновляться на протяжении семи дней и клиент не увидит самый последней список аннулированных сертификатов.” Система OCSP должна бы быть более надежной с точки зрения контроля – но проблемы с задержкой отправки данных также привели к утрате всех перспектив ее эффективности. Разработчики этой системы утверждают, что такая ситуация происходит из-за медленного соединения и отправки вопросов связанных с системой брандмауэров. Или проблемы масштабируемости сертификатов через OCSP с больших сайтов вызывают ошибки и OCSP может не правильно определить подлинность сертификата. Хотя, если не считать сбои в OCSP, когда результаты не являются достоверными, то такая система должна быть эффективной.

Хол также утверждает что: “если после отправки запроса на OCSP не было ответа, вы так и не узнаете статус состояния вашего сертификата. С сертификатом может быть все впорядке, просто не будет ответа на запрос. Кроме того, если сайт не в порядке, ответа также не будет, так как такая ситуация приведет к потере клиентов. Ведь как только в браузерах происходят сбои, есть опасение, что потребители будут переходить на другие браузеры которые более надежны и где не все так строго.”

И как результат, сегодня, большинство владельцев браузеров занимаются проверкой сайтов, где браузер по прежнему запрашивает функцию OCSP, которая отвечает за сайт, но не принимает никаких действий, даже если проблема и будет обнаружена. По словам Адама Ланджлея, инженера программного обеспечения Google Chrome – это нерабочая схема, поэтому Google было принято решение отключить проверку OCSP на несколько недель.

“Такое решение будет полезным для пользователей. Если вы уверенны, что OCSP является полезным инструментом, то ваше мнение ошибочно, хотя в системе предусмотрен раздел, где можно активировать OCSP обратно, по желанию пользователя,” – утверждает Ланджлей. “Но в данный момент, пользователи должны подождать, что бы их безопасность была под контролем. Хотя, пока нету ни одного аргумента, в пользу этой системе. Независимо от мнений о правильности решения Google, Ланджлей и его коллеги Гавард Молланд, криптографический и сетевой разработчик Opera Software и Сид Стамм, стратег безопасности и конфиденциальности сети из Firefox пришли к соглашению, что систему необходимо изменить и предлагают несколько возможных способов это сделать, а также сотрудничество с владельцами браузеров и представителями сертификационных центров, что бы ввести более надежный и эффективный способ проверки сертификатов.

От Ланджлея поступило предложение автоматического ответа от OCSP, который будет отправлен с сервера сайта оператора, и который отвечает за сертификат пользователя – тогда уже не будет нужен запрос со стороны клиента.

Некоторые ситуации подтвердили неэффективность работы OCSP, так как в большинстве случаев ответ от сервиса OCSP может быть связан только с одним основным сертификатом, что затрудняет проверку промежуточных сертификатов, которые являются дополнением основного. Более того, злоумышленники могут не запрашивать безопасную проверку при использовании поддельных сертификатов.

“Поэтому, для эффективности такой системы, клиенты должны знать, что сервером будут проверяться сертификаты, и скорее всего будет введено расширение X509, что подтверждает необходимость объединение сертификатов,” Ланджлей утверждает, что пока такая система не работает, но ее введение будет эффективным.”

Молланд предложил другую альтернативу основанную на использовании браузера со списком сертификатов (CRLs), а не списков от сертификационных центров.

“Такое предложение показывает, что поставщики браузеров обеспокоены существующей ситуацией. Поэтому, всем сертификационным центрам необходимо отослать списки отозванных сертификатов поставщикам браузеров и тогда самим браузерам будет проводится проверка,” продолжает он, объясняя, что такое решение позволит браузеру легко аннулировать сертификат в случае его повреждения или ненадежности и избежать последствий таких ситуаций, как в прошлом году – случаи атак на Comodo и DigiNotar.

“Мы могли бы отменить действие всех сертификатов, без установки новой версии браузера.” И Стамм представил предложение краткосрочных сертификатов, так как их короткий термин действия должен обеспечить быстроту работы запросов.

“Позитивным моментом будет то, что вам действительно не надо полагаться на работу браузеров для определения точного списка сертификатов, когда основная информация находится под угрозой. Так, как сертификаты с коротким сроком действия, можно также не полагаться на систему OCSP,” говорит Стамм. “Сегодня разработана инфраструктура для проверки сертификатов. Можно не принимать во внимание потребность в аннулировании сертификатов и просто полагаться на их срок действия, и тогда не будет необходимости в проверке сертификатов.”

Тем не менее, большим недостатком является смена ключей и более развитая инфраструктура сайта оператора. По словам Хола, вопрос отзыва сертификатов находится одним из первых в списке организаций членов в рамках CA-Browser Forum (CAB Forum).

Он порекомендовал аудитории следить за форумом адресов приложений, и обьединение OCSP предполагается в следующие месяцы, представители попытаются ускорить прогресс на столько на сколько это возможно. “На новом CAB Forum будут рассматриваться все инициативы для того, что бы проверка SSL сертификатов проходила лучше.”

Комментарии запрещены.