Нарушение доверия к центру сертификации выявляет уязвимости в иерархиях доверия Интернета

В конце марта 2015 года произошло серьезное нарушение безопасности, связанное с использованием неавторизованных цифровых сертификатов, выдававших себя за Google. Этот инцидент имеет далеко идущие последствия для того, как простые люди решают, кому доверять в Интернете..

В этом посте мы попытаемся объяснить, почему это важно для таких конечных пользователей, как вы..

Что случилось, в двух словах

Google обнаружил поддельные сертификаты SSL для доменов Google. Подделки были настолько хороши, что могли обмануть большинство браузеров, возможно, позволив злоумышленнику выдать себя за Google и другие домены, потенциально даже обманом заставив пользователей раскрыть свои пароли. К счастью, подделки существовали только в закрытой тестовой среде.

Предполагается, что выпуск таких поддельных цифровых сертификатов – даже в среде тестирования – практически невозможен благодаря строгим процедурам проверки личности владельцев сертификатов. Таким образом, тот факт, что это произошло, имеет большое значение, и это означает, что это может произойти снова, и что это, вероятно, произошло раньше для других организаций, но осталось незамеченным.

Google отвечает обновлением своего браузера Google Chrome, чтобы больше не доверять конкретному задействованному центру сертификации (называемому CNNIC); он удаляет корневые сертификаты CNNIC из своих продуктов. Mozilla (создатель Firefox) будет не доверять всем новым сертификатам CNNIC до тех пор, пока CNNIC не сможет успешно применить его в своем корневом хранилище..

Обновление: вот что происходит, когда вы посещаете сайт с действующим сертификатом SSL

Это поможет получить общее представление о том, что происходит, когда мы заходим на веб-сайт с использованием https, и наш браузер показывает нам зеленую галочку или блокировку, говорящую о безопасности этого сайта..

  1. Вы вводите https://www.google.com в свой веб-браузер..
  2. Ваш веб-браузер обращается к общедоступному каталогу DNS, чтобы узнать, какой IP-адрес он должен использовать для связи с google.com..
  3. Ваш веб-браузер связывается с сервером по IP-адресу, который он получил от DNS.
  4. Сервер отвечает сертификатом SSL.
  5. Ваш веб-браузер использует этот сертификат SSL для достижения двух очень важных вещей:
    1. Это подтверждает личность сервера. В этом случае это подтверждает, что сервер действительно запущен Google; и
    2. Он устанавливает зашифрованный канал связи, чтобы данные, передаваемые между браузером и сервером, были зашифрованы. Любой, кто слушает в сети, может видеть, что вы общаетесь с Google, но не может заглянуть внутрь вашего общения..

Если сертификат SSL действителен, ваш браузер покажет знакомую зеленую галочку или блокировку в адресной строке.

Ааа, зеленый замок.Ааа, зеленый замок.

Однако, если злоумышленнику удалось обмануть мой браузер, чтобы он связался с фальшивым сервером, ваш браузер заметит, что сертификат SSL инвалид, и он покажет вам предупреждение безопасности.

Вот что происходит, когда сертификат SSL представляет собой высококачественную подделку (подсказка: ваш браузер не заметит)

Вот почему объявление от Google так важно: MCI Holdings удалось создать поддельные SSL-сертификаты для Google, которые были настолько реалистичны, что могли заставить большинство веб-браузеров думать, что веб-сайт на поддельном сервере на самом деле является Google. Это в идеале никогда не должно происходить. Но когда это произойдет, это будет выглядеть так:

  1. Вы вводите https://www.google.com в свой браузер.
  2. Злоумышленник обманывает ваш DNS-сервер, давая вам неправильный IP-адрес для google.com. Они могли бы сделать это, используя ошибки в вашем домашнем маршрутизаторе, других маршрутизаторах в сети, ошибки в самом DNS-сервере (обычно выполняемые вашим провайдером) или различными другими способами..
  3. Ваш веб-браузер связывается с фальшивым сервером.
  4. Поддельный сервер отвечает поддельным SSL-сертификатом. Однако сертификат настолько качественный, что ваш браузер считает его действительным.
  5. Ваш браузер покажет зеленую галочку или блокировку в адресной строке.
    1. Когда сертификат SSL представляет собой высококачественную, необнаружимую подделку, вы и ваш браузер подумаете, что это на самом деле GMail ...Когда сертификат SSL представляет собой высококачественную, необнаружимую подделку, вы и ваш браузер будете думать, что это на самом деле GMail …
  6. Вы вводите свое имя пользователя и пароль Google в высококачественный клон GMail, тем самым отправляя его злоумышленнику, который теперь получает контроль над всеми вашими данными Google, включая вашу электронную почту, документы, фотографии, контакты и все, что связано с вашей учетной записью Google..

Как веб-браузеры решают, является ли сертификат SSL действительным, в любом случае?

Каждая операционная система, смартфон и веб-браузер предварительно установлены со списком из нескольких десятков компаний или правительств, цифровым подписям которых они будут доверять, если не настроено иначе (об этом позже). Эти доверенные компании называются центрами сертификации или центрами сертификации и должны соответствовать подробным критериям, чтобы быть частью этого списка..

Корни системы доступа брелкаВы можете получить доступ к этому, перейдя в Spotlight > Брелок Доступ > Корни системы.

Если веб-сайт представляет сертификат, подписанный любым из этих доверенных центров сертификации, веб-браузеры будут интерпретировать его как «Я вижу подпись этого центра сертификации, которому я предварительно настроен для доверия. Он подписал сертификат этого сервера. Это означает, что он проверил людей, стоящих за этим сервером, и подтвердил, что они действительно являются теми, кем себя называют. Поэтому я тоже доверяю этому сертификату и показываю зеленую галочку или блокировку своему пользователю ».

Это помогает рассматривать центры сертификации как аналогичные центральным доверенным органам, которые выдают документы, удостоверяющие личность, например паспорта. Когда вы подаете заявление на получение паспорта, вам необходимо принести подтверждающие документы, такие как свидетельство о рождении, водительские права и фотографию, и вам, вероятно, придется сделать это лично, чтобы они могли подтвердить, что вы являетесь человеком на вашей фотографии. Когда вы путешествуете, вы используете свой паспорт в качестве удостоверения личности. Правительства, отели и авиакомпании уверены, что вы являетесь тем человеком, которого ваш паспорт подтверждает, что вы.

Вы можете думать о центре сертификации как об аналоге, выдавшем паспорт, и о цифровом сертификате – как своего рода паспорт или документ, удостоверяющий личность, для веб-сайта. Паспорта (в идеале) трудно подделать, и имеют срок годности. Точно так же цифровые сертификаты должны (в идеале) подделываться, и у них также есть даты истечения срока действия. По истечении срока годности, паспорта и цифровые сертификаты становятся недействительными.

Мы не можем считать, что наши браузеры и компьютеры доверяют как должное

Возможно, вы знакомы с некоторыми центрами сертификации, которым ваш компьютер автоматически настроен на доверие, например Symantec и GoDaddy. Но знаете ли вы, что ваша операционная система или браузер, вероятно, содержат корневые сертификаты для таких крупных организаций, как Почтовое отделение Гонконга, организация из Нидерландов под названием Staat der Nederlanden Root CA и правительства разных стран мира? (Если вам интересно, вот список организаций, которым доверяет Firefox).

Риск – это то, что происходит, когда один из этих центров сертификации подписывает кованый сертификат от подражателя по неосторожности (что, по-видимому, произошло с разгромом CNNIC / MCS Holdings / Google) или даже со злым умыслом.

Пришло время пересмотреть, кому мы доверяем в Интернете??

Доверие в интернете течет транзитивно. Мы доверяем разработчикам наших операционных систем и наших веб-браузеров; мы доверяем таким компаниям, как Google, которые обрабатывают наши данные в Интернете; и мы доверяем нескольким центрам сертификации тщательно проверять подлинность различных веб-сайтов и выдавать SSL-сертификаты только их законным владельцам..

Случай с поддельными сертификатами Google подчеркивает важность проверки того, каким центрам сертификации нам действительно нужны наши браузеры. В зависимости от того, какие веб-сайты вы обычно посещаете, набор центров сертификации, на которые вы фактически полагаетесь, может быть намного меньше, чем набор, который предварительно доверен на вашем компьютере..

Вот что вы можете сделать по этому поводу:

  1. Попробуйте отключить некоторые из корневых сертификатов, которые были предварительно настроены на вашем компьютере. Например, если вы обычно не просматриваете веб-сайты в Нидерландах, возможно, было бы целесообразно отключить полномочия «Правительство Нидерландов, PKIoverheid», которым ваш браузер, вероятно, в настоящее время настроен на доверие. Мы также предлагаем отключить корневой сертификат для CNNIC..
  2. Подумайте о том, чтобы сделать Chrome браузером по умолчанию, поскольку Google имеет репутацию бдительного и быстрого реагирования на нарушения правил доверия..
  3. Следите за проектами, такими как Google Transparency Transparency Project, который создает техническое решение для более быстрого обнаружения поддельных сертификатов. В ближайшие месяцы и годы такие проекты будут создавать плагины и улучшения для браузеров и операционных систем для решения некоторых из этих проблем, но эти решения не полностью доступны сегодня.
  4. А пока не забудьте использовать VPN. Он защищает вас от некоторых возможных способов, которыми злоумышленник может попытаться использовать поддельный SSL-сертификат на вас. Например, VPN делает злоумышленнику намного сложнее подделать результаты DNS.

Дальнейшее чтение:

Что такое центры сертификации & Доверять иерархии? | GlobalSign
Проект по прозрачности сертификатов Google

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me