Новые стандарты SSL сертификатов уменьшают зависимость пользователей от сертификационных центров

2011 год был тяжелым периодом для сертификационных центров (СЦ) и конфиденциальности Интернет пользователей. Несколько успешных атак против СЦ привели к снижению доверия к SSL/TLS. В результате чего, прошлым летом, Мокси Марлинспайком было предложено новую систему безопасности под названием Конвергенция, система работы которой дала возможность пользователям определять кому действительно можно доверять. До сих пор не многие пользователи приняли эту технологию – в решении Марлинспайка есть и некоторые технические проблемы.

В течении последних шести месяцев, поступило еще два новых предложения, что подтверждает возможность отказа от нынешней модели. Одним из предложений был Public Key Pinning Extension для HTTP от инженеров Google, а другая похожая идея поступила от Марлинспайка и Тревора Перрина – Trust Assertions для Certificate Keys (TACK).

Некоторые браузеры, такие как Google Chrome уже реализовали аналогичный подход, под названием “фиксация сертификата”, но такое введение не масштабируется. Теперь, Google Chrome предоставляется с набором предопределенных высоко профильных сертификатов, установленных для таких услуг, как Gmail, которые находятся на самообеспечении и не полагаются на сертификационные центры.

Нарушения в DigiNotar CA были обнаружены после того, как пользователи Chrome и Gmail в Иране стали получать сообщения с предупреждениями о повреждении их трафика атакой man-in-the-middle из-за использования поддельных сертификатов. Даже тщательное кодирование большинства сайтов не дало результатов защиты пользователей и было непрактичным, хотя это и новое предложение возможности избежания распространения проблемы.

Теперь, исходный контакт с HTTPS сервером будет работать так же как и прежде, опираясь на сертификационные центры проверки безопасности сайта, на который заходит пользователь. Однако для сайтов, которые будут поддерживать такие новые решения еще можно было бы предложить дополнительную цифровую подпись сертификатов владельцев сайтов. Браузер может сохранять копию такой подписи и контакты для определения известного открытого ключа, который представляет этот сайт. Для следующего визита будет проверяться подпись любого сертификата, который пренадлежит сертификационному центру, а также копия открытого ключа и контакты, которые были введены во время предыдущего посещения. Это значит, что для злоумышленника, желающего совершить атаку man-in-the-middle надо будет пройти проверку сертификационным центром, а также проверку оператора сайта.

В конечном итоге, такая система уменьшает зависимость от сертификационных центров в плане безопасности, предоставляя больше полномочий операторам сайтов и частным компетентным лицам. Такая диверсификация доверия является важным шагом к независимой, более надежной проверке безопасности и потенциально приведет к устранению необходимости сертификационных центров в будущем.

Оба предложения более детально описаны и представлены в виде отдельного проекта с IETF, кроме того есть еще много технических подробностей, которые в этом материале не описаны. Для более детальной информации необходимо ознакомиться с самими предложениями.

Комментарии запрещены.