System certyfikatów SSL - czas na zmiany

Pomysł uzyskał już pewne wsparcie ze strony przemysłu. Specjaliści z firmy Qualys uważają, że jest to realna alternatywa obowiązującego dzisiaj sposobu działania ekosystemu SSL, ale żeby rozwiązanie to odniosło sukces, konieczne jest uzyskanie pewnej "masy krytycznej" notariatów. Firma od pewnego czasu prowadzi prace rozwojowe w dziedzinie SSL, udostępniając różne narzędzia oraz dokumentację na swojej witrynie SSL Labs, i jest zainteresowana koncepcją Convergence, która może rozwiązać niektóre problemy bezpieczeństwa związane z SSL. Zamiast prób naprawiania dzisiejszych słabości przy jednoczesnym zachowaniu dotychczasowego sposobu działania, Convergence jest propozycją wprowadzenia czegoś całkiem odmiennego.

Polecamy: Narzędzia SIEM do lamusa?

Zobacz również:

  • Fortinet ostrzega
  • Będą dwa nowe certyfikaty Windows Server

Marlinspike, jako pomysłodawca projektu, nie wiąże z nim żadnych oczekiwań jako projektem biznesowym przynoszącym zyski. Jednocześnie ma bardzo krytyczny stosunek do dzisiejszych rozwiązań, w których dostawcy przeglądarek "zaszywają" w nich wsparcie dla konkretnego ośrodka certyfikacji, przeważnie prowadzonych przez takich graczy, jak VeriSign, Entrust, Thawte czy Comodo. Przypomina, że po ataku na DigiNotar, Microsoft usunął ze swojej przeglądarki wsparcie dla tego ośrodka, a sama firma ogłosiła bankructwo, ponieważ atak ten podważył do niej zaufanie.

Polecamy: Najciekawsze ataki z Black Hat i Defcon

Szacuje się, że Comodo ma ok. jedną czwartą do jednej piątej rynku certyfikatów w internecie i usunięcie wsparcia jej centrum autoryzacyjnego z przeglądarek mogłoby być bardzo destrukcyjne dla obecnego systemu. Ale według Marlinspike’a w ten sposób podejmuje się właściwie decyzje o "dozgonnym" zaufaniu do Comodo, niezależnie od tego czy będzie on zawsze zasługiwał na zaufanie.

Polecamy: 10 przełomowych osiągnięć dla bezpieczeństwa IT

Warto zaznaczyć, że Convergence zapewnia kompatybilność z istniejącym systemem certyfikacji SSL. Prostota tego rozwiązania polega na zaufaniu do skumulowanych wyników - jeżeli we wszystkich notariatach odnotowane są identyczne dane dotyczące danego certyfikatu, to znaczy że witryna jest w porządku (prowdpopodobieństwo tego, że tak nie jest praktycznie wynosi 0). Biznes może zachować utrzymywanie podpisanych certyfikatów, ale sposób poświadczania ich legalności zmieni się.


TOP 200