Исследователи безопасности представили TLS Extension для SSL сертификатов

Исследователи безопасности предложили использовать расширение протокола  Transport Layer Security (TLS), что поможет браузерам определять и блокировать поддельные SSL сертификаты.

Таким расширением является инструмент под названием TACK, сокращенно от Assertions for Certificate Keys. TACK разработан исследователями  в области безопасности Тревором Перреном и Мокси Марлинспайком и представлен на рассмотрение Engineering Task Force (IETF) – органом, ответственным за TLS.

TACK должен разрешить проблемы нарушений в инфраструктуре открытых ключей, которые были обнаружены в области безопасности сертификационных центров (СЦ) Comodo и Diginotar.

Такие нарушения повлияли на SSL сертификаты, особенно для широко известных доменов, таких как google.com, hotmail.com или mail.yahoo.com, после выдачи сертификатов обманным путем. А в случаи с Diginotar – под сертификационную атаку попали Google пользователи в Иране.

Сегодня, около 600 организаций по всему миру специализируются на работе с сетевыми браузерами и выдаче SSL сертификатов – эти организации известны как сертификационные центры и каждая из них, технически, может выдавать действительные сертификаты для любых доменов в Интернете.

В течении последних 12 месяцев в сети было представлено несколько предложений по улучшению текущей сертификационной системы экспертами в области безопасности, но единого решения так и не было найдено.

В ноябре, 2011 года, инженеры безопасности Google предложили использовать расширение HTTP, под названием “открытый ключ фиксации” что позволит сайтам еффективно информировать браузеры через расширение HTTP о надежности сертификационных центров в выдаче SSL сертификатов, что определяется по их доменному имени. Эта информация запоминается браузером, в результате чего, при входе на сайт следующий раз, соединение устанавливаться не будет до того времени, пока не будет подтверждения о безопасности сертификата. Более эффективно эта система используется в Google Chrome для отдельных доменных имен, включая Google.

TACK основан на аналогичных открытых ключах, но вместо закрепления сертификационных центров открытых ключей, в частности доменных имен, это будут контакты открытых ключей, которые созданы самими владельцами доменов.

С системой TACK, владелец домена может генерировать несколько закрытых и открытых ключей, которые имеют название TACK ключи. Закрытый ключ используется для подписи TLS открытого ключа сервера, который используется браузерами для проверки SSL сертификатов. Дальше, открытый ключ TACK работает совместно с подключением браузеров и используется для проверки TACK подписи открытого ключа.

Браузеры могут прикрепить TACK общественный ключ к доменному имени, если они получают его с сервера. Если злоумышленник попытается использовать поддельный SSL сертификат, используя при этом безопасное соединение с доменом на котором уже установлено ключ TACK, то такой запрос будет отклонен браузером.

Такая система обеспечивает второй уровень защиты, потому что для проведения успешной атаки в дополнение к поддельному использованию имени сертификационных центров, SSL сертификатов, злоумышленнику также будет необходимо владеть доменными TACK ключами.

TACK был разработан для поддержки совместимости с серверами клиентов, для которых он не был еще установлен. В таких ситуациях, HTTPS связь предоставляет соглашение на подключение в зависимости от действующего сертификата. Этот аспект особенно важен, учитывая то, что внедрение новых версий TLS владельцами сервера происходит медленно.

По данным Trustworthy Internet Movement проект SSL Pulse, менее двух процентов из самых популярных 200,000 сайтов с установкой HTTPS поддерживают TLS 1.1 или 1.2 – последнюю версию протокола.

Большинство сайтов все еще поддерживают версию SSL 3.0, которая была еще перед TLS, и TLS версии 1.0 – создана еще в 1999. Больше 30 процентов поддерживают SSL 2.0, первую общественно доступную и самую небезопасную версию протокола.

В таких условиях трудно себе представить запуск TACK для широкого использования в ближайшее временя, даже если оно будет одобрено IETF.

То есть, TACK, это сокращение от Trust Assertions for Certificate Keys, такая система была разработана исследователями в области безопасности Тревором Перенном и Мокси Марлинспайком, и была представлена на рассмотрение Internet Engineering Task Force (IETF), органом, ответственным за TLS.

Комментарии запрещены.