Сертифікати TLSSSL l; звичка більше не робить ченця; Паноптинет

Не знаючи цього, ми щодня використовуємо сертифікати TLS/SSL, які є гарантами безпеки веб-сайтів, які керують конфіденційними даними (особисті, банківські тощо). На жаль, нещодавно кільком кіберзлочинцям вдалося його отримати. Як? 'Або' Що? І з якими наслідками для користувачів Інтернету ?

tlsssl

У березні минулого року, a Іранський хакер вдалося отримати у постачальника сертифікатів Comodo дев'ять сертифікатів для доменів, що належать Microsoft, Google, Mozilla або Skype. Тоді ризик для користувачів Інтернету полягає в підключенні до шкідливі сайти, що мають цифрову ідентичність сертифікованих сайтів, і, отже, бути визнаними такими операційною системою (наприклад, Windows) і особливо веб-браузер (наприклад: Firefox).

Останніми днями це Сертифікатор DigiNotar хто б мав витік дійсних сертифікатів, на благо піратів, також іранців, здається. Ці сертифікати, цілком діючі, є тими, серед яких - Google. З цим цифровий паспорт, хакери можуть відтворити підроблений gmail, з не тільки його зовнішній вигляд (як фішинговий сайт), але також і його Безпека ДНК цифровий. Якби це було зроблено, іранські пірати могли б перехоплювати всі комунікації, і стежити за супротивниками режиму, або викрасти багато особистої інформації (все залежить від мотивації).

Два випадки, які кидають сумнів у надійності Система TSL/SSL.

Що таке TSL/SSL ?

Це протокол для захисту обмінів в Інтернеті, раніше відомий як SSL, а тепер TSL (Secure Sockets Layer). Таким чином, веб-сайти, які хочуть, наприклад, підтвердити безпеку своїх конфіденційних інформаційних потоків (особистих, банківських, стратегічних тощо), запитують сертифікат TSL у затвердженого органу, визнаний орган із сертифікації (як вищезгадані Comodo та DigiNotar).

Дійсно за замовчуванням протокол HTTP передає всю інформацію ясно (незашифрований). Зрештою, сертифікат TSL дозволяє:

  • D ’зашифрувати дані обмінюються між користувачами та сервером
  • З довести справедливість сервер (сертифікація), як мітка

Цього тижня ми дізналися, що Google може бути не єдиним, кого торкнувся злом голландського довіреного органу DigiNotar, який в кінцевому підсумку визнає себе, із запізненням: у шахрайській видачі запитів на сертифікати для ряду доменів, зокрема Google.com. Після виявлення вторгнення DigiNotar діяв згідно з усіма застосовними правилами та процедурами ". Так компанія має анульовані сумнівні сертифікати, але не виключено, що один або кілька залишаються вільними.

Як не обдурити в Інтернеті справжні фальшиві сертифікати TSL ?

Оновивши веб-браузер, як тільки програмне забезпечення пропонує нову версію.

Саме Google намалював найшвидше і хто негайно анульовано 247 сертифікатів DigiNotar: його браузер Chrome тепер може ідентифікувати підроблений сертифікат. Firefox (Mozilla) також пропонує a оновлення що дозволяє захистити себе. Служба підтримки Mozilla також заявляє на своєму сайті ручний метод, який дозволяє стерти сертифікат DigiNotar CA, незалежно від версії браузера. Internet Explorer (Microsoft) також сьогодні оновлений. Apple, менш звиклий до проблем безпеки, ще не реагував лобово. Однак ось процедура вручну, яка дозволить вам відкликати сертифікат Diginotar SSL у Keychain Access:

  • Відкрийте брелок
  • Знайдіть і відкрийте сертифікат DigiNotar
  • Виберіть Довіряти, а потім При використанні цього сертифіката виберіть Ніколи не довіряти.

Сертифікати безпеки типу TLS широко використовуються сьогодні, особливо тому, що компанії, які їх використовують, мають цілком впевненість у цій системі який зарекомендував себе. Але ці дві операції злому ставлять під сумнів органи сертифікації. Сподіваємось, вони переглянуть свою діяльність, якщо ми не хочемо, щоб Інтернет став справжніми джунглями, де він стане неможливо відрізнити істинне від хибного.