Google-veiligheidscertificaten gesmeed

Onlangs heeft Google vastgesteld dat een certificaatautoriteit (CA) is uitgegeven gesmeed certificaten voor Google-domeinen. Dit compromitteert de afhankelijk van geleverde door levering Layer Safety (TLS), evenals veilig HTTP (HTTPS), waardoor de houder van de gesmeerde certificaten een man-in-the-middle aanval kan uitvoeren.

Om te valideren dat de website die u uitcheckt, is echt wie zij verzekeren dat de verzekeringen zijn, uw browser zorgt ervoor dat het certificaat dat wordt verstrekt door de server die u toegankelijk hebt, is ondertekend door een vertrouwde ca. Wanneer iemand een certificaat van een CA aanvraagt, moeten ze de identiteit van de persoon die het verzoek maakt. Uw browser, evenals besturingssysteem, hebben een reeks uiteindelijk vertrouwde CAS (root CAS). Als het certificaat is uitgegeven door een van hen, of een tussentijdse CA die zij vertrouwen, hangt u af van de verbinding. Deze hele structuur van afhankelijk is een keten van vertrouwen genoemd.

Met een gesmede certificaat kunt u een klant overtuigen die uw server echt http://www.google.com is. U kunt dit gebruiken om te zitten tussen de verbinding van een klant en de eigenlijke Google-server, die hun sessie afluisteren.

In dit geval deed een tussenliggende CA precies dat. Dit is eng, omdat het de veiligheid ondermijnt die ons allemaal elke dag afhankelijk is voor alle veilige transacties op internet. Certificaat Pinning is één tool die kan worden gebruikt om bestand te zijn tegen dit type aanval. Het werkt door het associëren van een hold met een bepaald certificaat. Als het verandert, wordt de verbinding niet vertrouwd.

De gecentraliseerde aard van TLS werkt niet als u niet afhankelijk bent van de autoriteiten. Helaas kunnen we dat niet.