Fałszywe certyfikaty: winni ludzie czy PKI?
-
- Dariusz Niedzielewski,
-
- Roger Grimes,
- 14.09.2011, godz. 08:45
Spośród 22,65 mln wszystkich przetestowanych serwisów internetowych (obsługujących SSL) tylko 720 tys. (3%) miało certyfikaty zgodne z nazwą domeny. Dla miliona najlepszych domen rankingu ALEXA niecałe 28% certyfikatów pasowało do nazw domen na jakie zostały wystawione.
Polecamy: Naukowcy znaleźli sposób na fałszowanie certyfikatów
Na potrzeby dalszych badań wyeliminowano zduplikowane certyfikaty, adresy IP i nazwy domen. Z ponad 867 tys. przebadanych certyfikatów SSL 30% traktowanych było jako niezaufane (z czego nieco ponad 2% jako podejrzane), zaś 70% prawidłowo przechodziło ścieżkę walidacji.
Z badań wynikało również, że aż 137 tys. certyfikatów straciło ważność, 96 tys. były to certyfikaty typu selfsigned, a ok. 1 tys. zostało unieważnionych (choć nadal były w użyciu). Dwadzieścia jeden tysięcy certyfikatów miało błędne podpisy cyfrowe, a 57 tys. odwoływało się do zupełnie nieznanych CA.
Od badań Qualys minął co prawda rok, ale trudno przypuszczać, by przez ten czas odsetek stron z cyfrowymi certyfikatami SSL znacząco wzrósł z zastanych 3 proc. Jeśli dodamy do tego fakt, że nawet w tak małej liczbie znalazło się mnóstwo zastrzeżeń i błędów, to niechęć internautów do tych narzędzi bezpieczeństwa nie może dziwić.
Zobacz: Spear phishing
Sytuacja taka nie powinna jednak stać się standardem. Specjaliści przekonują, że włamania do CA przez wyspecjalizowane grupy hakerów byłyby znacznie utrudnione lub wręcz niemożliwe, gdyby pracujący tam ludzie dochowywali wszystkich procedur bezpieczeństwa. Centra certyfikacji często wyposażone są w fizyczne mechanizmy znacznie podnoszące poziom zabezpieczeń (HSM - Hardware Security Modules). Najprawdopodobniej zaprzestano ich używania w czasie, gdy dokonano włamań, a żadna karta inteligentna czy token nie zda egzaminu, gdy zostanie wyłączony z systemu bezpieczeństwa.
Kolejny raz najsłabszym mechanizmem okazuje się człowiek, który lekceważy zalecenia i zawsze wie lepiej. Mechanizm zawarty w PKI jest oparty na zaawansowanej matematyce i z całą pewności nie on stoi na przeszkodzie właściwego zabezpieczenia stron WWW.
