System certyfikatów SSL - czas na zmiany

Ekspert od spraw bezpieczeństwa Moxie Marlinspike uważa, że centrom autoryzacyjnym takim jak Comodo, których skuteczność zabezpieczeń została podważona przez hakerów, nie powinno się bezgranicznie ufać, a sposób w jaki pracuje cały dzisiejszy przemysł certyfikatów SSL powinien być zmieniony na coś bardziej elastycznego.

Convergence

Podczas sierpniowej konferencji Black Hat, Marlinspike zaproponował zastosowanie rozwiązania o nazwie Convergence, która to propozycja nabrała szczególnego znaczenia po głośnych atakach hakerów na DigiNotar, GlobalSign, Comodo i inne ośrodki certyfikacji SSL, w wyniku których w internecie pojawiły się fałszywe certyfikaty, takich firm jak np. Google.

Projekt Convergence ma radykalnie zmienić obecną sytuację, kiedy to uwierzytelnienie serwisów internetowych opiera się na certyfikatach SSL poświadczanych przez centra autoryzacyjne rozpoznawane jako zaufane przez przeglądarkę internetową - ich lista jest z góry ustalana przez dostawcę przeglądarki. W ramach istniejącego systemu, zaufanie jest więc określone przez przypisanie do przeglądarki głównego ośrodka certyfikacji, a to oznacza, że na sztywno zamknięte w tej relacji.

Zobacz również:

  • Fortinet ostrzega
  • Będą dwa nowe certyfikaty Windows Server

Zobacz też: SSL: Notariaty - nowe podejście do weryfikacji certyfikatów

Marlinspike uważa, że cały ten system - stanowiący dzisiaj podstawę działania całkiem sporego biznesu wydawania poświadczeń - powinien być zaniechany na rzecz idei bardziej bezpośredniego kontrolowania przez użytkownika komu ma ufać przeglądarka, opierającej się na pomyśle tzw. "notariatów", na okrągło sprawdzających i rejestrujących jakie certyfikaty prezentują serwery webowe. Przeglądarka po otrzymaniu certyfikatu SSL z serwera prosi notariat o sprawdzenie czy certyfikat otrzymany z serwera był regularnie prezentowany w jakimś okresie czasu. Jeżeli tak, to jest to podstawa do uznania, że jest to prawidłowy certyfikat dla tej witryny.

Polecamy: Kiepskie zabezpieczenia kosztują więcej

Aby skorzystać z rozwiązania Marlinspike'a, użytkownik potrzebuje wtyczki Convergence do Firefoxa. Pierwszy notariat ustaowił Marlinspike, ale dzisiaj jest to już ponad 50 notariatów Convergence, w tym prowadzonych przez Electronic Frontier Foundation oraz firmę Qualys, dostawcę zabezpieczeń. Pomysł polega na tym, że notariaty systemu Convergence - wybierane przez użytkowników samodzielnie - elektronicznie informują czy certyfikat SSL jest autentyczny, a autentyczność certyfikatu weryfikowana jest statystycznie. Szacuje się, że dzisiaj z systemu Convergence korzysta już ok. 30 tys. użytkowników.


TOP 200