Co to jest certyfikat CA i jak działa?

Ilustracja certyfikatu urzędu certyfikacji.

Niedawno rząd Kazachstanu tymczasowo zmusił obywateli do zainstalowania urzędu certyfikacji (CA), który pozwolił państwu odszyfrować całą zawartość i komunikację podczas ataku typu man-in-the-middle.

Certyfikat pozwalał nawet rządowi zmieniać dane i nakłaniać użytkowników do uruchamiania i pobierania wirusów i programów szpiegujących. Inicjatywa rządu kazachstańskiego mogła na razie się nie powieść, ale zagrożenie jest realne.

Urzędy certyfikacji wyjaśniły

Urząd certyfikacji sprawdza, czy witryna internetowa jest taka, jak twierdzi, gdy szyfruje dane między swoimi serwerami a tobą. Urząd certyfikacji podpisze certyfikat szyfrowania witryny, który jest przedstawiany użytkownikowi przy każdym otwarciu strony.

Certyfikat ExpressVPN podpisany przez urząd certyfikacji (Amazon).

Dostawcy przeglądarek i systemów operacyjnych nie są w stanie samodzielnie zweryfikować własności wszystkich witryn, więc przekazują to do wielu zaufanych urzędów certyfikacji. Wszystkie urzędy certyfikacji muszą mieć wdrożone procesy i kontrole, aby upewnić się, że certyfikaty są wydawane tylko prawowitemu właścicielowi domeny.

Na przykład odwiedzając witrynę banku, chcesz mieć pewność, że naprawdę korzystasz z witryny banku, a nie oszusta. Twoja przeglądarka sprawdzi, czy certyfikat przedstawiony przez witrynę jest wydawany przez zaufany urząd certyfikacji, tworząc w ten sposób „łańcuch zaufania”, który stanowi dowód, że naprawdę korzystasz z właściwej witryny.

W przeszłości istniało kilka przypadków, w których dostawcy przeglądarek i systemów operacyjnych zabrali prawa urzędom certyfikacji, ponieważ okazali się niekompetentni lub złośliwi w sposobie wydawania certyfikatów. Jeśli urząd certyfikacji podpisuje prośby do innych osób, takich jak stany narodowe lub hakerzy, system nie działa.

Komputer jest fabrycznie wyposażony w zestaw urzędów certyfikacji, a Firefox korzysta z własnej listy sprawdzonej przez własnych ekspertów. Kazachstan próbuje włączyć swój złośliwy urząd certyfikacji do przeglądarki Firefox, ale Mozilla uprzejmie odmówiła. Urząd certyfikacji nie jest zawarty w żadnej innej głównej przeglądarce, ale możliwe jest ręczne dodanie dowolnego urzędu certyfikacji. Programiści przeglądarek znają tę lukę, a niektórzy proponują trwałe zablokowanie złośliwych urzędów certyfikacji i uniemożliwić użytkownikom ich instalację lub obejście ograniczeń.

Fałszywy urząd certyfikacji

Tworząc własny urząd certyfikacji i dając możliwość podszywania się pod dowolne strony, rząd Kazachstanu próbuje ominąć ten ważny łańcuch zaufania.

Tak długo, jak kontroluje strumień danych, może przedstawiać każdy serwer jako „legalny” i używać go do wyłudzania twoich danych uwierzytelniających. Na przykład ważny certyfikat twitter.com dowodzi, że naprawdę jesteś podłączony do Twittera i że możesz bezpiecznie wpisać swoją nazwę użytkownika i hasło. Jeśli jednak Twój komputer ufa fałszywemu urzędowi certyfikacji, ktoś inny może skierować Twoje połączenie na własny serwer, udając Twitter.

Co to jest certyfikat HTTPS?

Hypertext Transfer Protocol Secure (HTTPS) to protokół używany do szyfrowania stron internetowych. Gdy nawigujesz do strony internetowej obsługującej HTTPS (obecnie większość wszystkich witryn), między urządzeniem a serwerem witryny konfigurowany jest zaszyfrowany kanał, dzięki czemu nikt pomiędzy nie może odczytać Twoich haseł ani poufnych informacji. Ten środek bezpieczeństwa jest często oznaczony blokadą na pasku adresu przeglądarki.

Aby sprawdzić, czy komputer jest podłączony do prawdziwej witryny banku, a nie do klonowania, certyfikat HTTPS jest podpisany przez urząd certyfikacji. Gdy przejdziesz do strony, serwer przedstawi podpis elektroniczny potwierdzający, że organ potwierdził, że należy do strony, którą próbujesz odwiedzić.

Ponieważ HTTPS jest bardzo niezawodny, gdy nie jest zepsuty, ogromna większość stron internetowych i aplikacji polega wyłącznie na bezpieczeństwie zapewnianym przez HTTPS w celu zapewnienia bezpieczeństwa danych w transporcie.

Szyfrowanie działa

Szyfrowanie tak proste jak HTTPS może mieć ogromny wpływ na bezpieczeństwo i prywatność w Internecie, dlatego autorytarne reżimy są skłonne go atakować.

Zwłaszcza w stanach o niewiarygodnych systemach prawnych i braku odpowiedzialności za władzę nie możemy ufać rządom w zakresie dostępu do naszych prywatnych danych. Jak pokazują niezliczone przykłady, prywatne informacje (takie jak dane karty kredytowej i prywatne wiadomości) przedostaną się w ręce regionalnych departamentów, a następnie poszczególnych funkcjonariuszy i ostatecznie do zorganizowanej przestępczości, gdzie zagraża stabilności społeczeństwa.