Sikkerhetssertifikater for sikkerhetssikkerhet øker spørsmålet om SSL-pålitelighet

Som forbrukere har vi blitt lært å stole på hengelåsikonet som vises på adressefeltet i våre nettlesere. Vi får beskjed om at det er et tegn. Vår kommunikasjon med et nettsted er trygt. Men en hendelse i denne uken som involverer Google og et tyrkisk sikkerhetsselskap, tror det.

Selskapet TurkTrust, avslørte denne uken at det ved uhell utstedes to hovednøkler til to "enheter". Hovednøkler, som kalles mellomliggende sertifikater, tillater enhetene å lage digitale sertifikater for et hvilket som helst domene på Internett.

Digitale sertifikater er faktisk krypteringsnøkler som brukes til å verifisere at et nettsted er hva det sier det er. Sertifikatet for din bank, for eksempel, bekrefter til nettleseren din at du faktisk snakker med banken din når du gjør nettbank.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Sertifikater brukes å kryptere informasjon mellom deg og en nettside også. Det betyr det grønne hengelåset på nettleserens adressefelt. Nettleseren kommuniserer med nettstedet ved hjelp av Secure Sockets Layer etter verifisering av sin autentisitet.

En Internetmiscreant med et falskt sertifikat som kan avlyse kommunikasjon mellom deg og en pålitelig nettside, kan lure nettleseren din til å tro at den kommuniserer med det pålitelige nettstedet og kapre kommunikasjonen din. Det kalles en "mann i midtangrep" fordi tyven sitter mellom deg og det pålitelige nettstedet.

Feil løst, problemet fortsetter

TurkTusts feil ble oppdaget av Google på julaften av en funksjon som den har i sin Chrome-nettleser plattform som reiser et rødt flagg til Google når noen prøver å bruke plattformen med et uautorisert sertifikat.

Etter å ha oppdaget sertifikatproblemet, informerte Google TurkTrust om situasjonen, samt Microsoft og Mozilla, som alle har endret nettleserplatformene sine for å blokkere skurk sertifikater opprettet med mellommennsertifikatmyndigheten.

Dette sertifikatet snafu er bare det siste tegn på at det eksisterende systemet for utstedelse av digitale sertifikater trenger reparasjon. I mars 2011 ble et selskap tilknyttet sertifikatutstedende myndighet brutt, og ni falske sertifikater ble utstedt.

I løpet av året brøt hackere en nederlandsk sertifikatmyndighet, DigiNotar, og utstedt dusinvis av falske sertifikater, inkludert en for Google. Fallout fra denne hendelsen slår selskapet ut av virksomheten.

Ønsket: Next-gen Security

En rekke forslag har blitt sendt for å løse sikkerhetsproblemene rundt sertifikater.

Det er Convergence. Det tillater en nettleser å få en annen mening om et sertifikat fra en kilde valgt av en bruker. "Det er en brillantide, men så snart du kommer på et bedriftsnettverk, og du står bak en proxy eller bak en nettverksoversetter, kan det ødelegges," sa Chet Wisniewski, en sikkerhetsrådgiver med Sophos, i et intervju.

Det er DNSSEC. Det bruker domenenavnelsesoppløsningssystemet - systemet som forvandler de vanlige navnene til nettsteder til tall - for å skape en pålitelig kobling mellom bruker og nettside. Ikke bare er systemet ikke lett å forstå, men implementeringen kan ta flere år.

"Problemet med DNSSEC er at det krever å implementere en ny teknologi og en koordinert oppgradering av infrastruktur før vi kan dra nytte av det," sa Wisniewski. "Med adopsjonsratene som vi har sett så langt betyr det at vi ikke har en løsning på plass i ti eller 15 år. Det er ikke bra nok."

Også foreslått to "pinning" -teknikker-Public Key Pinning Extension for HTTP og pålitelige påstander for sertifikatnøkler (TACK), som er liknende.

De tillater at et nettsted skal endre en HTTP-header for å identifisere sertifikatmyndighetene det stoler på. En nettleser vil lagre den informasjonen og bare etablere en tilkobling til et nettsted hvis det mottar et sertifikat signert av en sertifikatmyndighet som er betrodd av nettstedet.

Pinning-forslagene er mest sannsynlig å bli vedtatt for å kurere sertifikatproblemet, ifølge Wisniewski. "De kunne bli vedtatt i kort rekkefølge," sa han. "De tillater folk som ønsker å dra nytte av avansert sikkerhet for å gjøre det med det samme, men det bryter ikke til en eksisterende nettleser som ikke er oppdatert."

Uansett hvilket programlesere som bestemmer for å vedta sertifikatproblemet, må de gjør det snart. Ellers vil snafus fortsette å sprede seg og tillit på Internett kan være irreparably skadet.