» »

Nekaj gnilega je v deželi certifikatski

Nekaj gnilega je v deželi certifikatski

Seznam zaupanja vrednih CA v Operi

Slo-Tech - Pri varnem brskanju po spletu, ko moramo biti stoodstotno prepričani, da je obiskana stran res to, za kar se predstavlja, se uporablja certifikatsko podpisovanje. Gre za verigo zaupanja, kjer na vrhu najdemo tako imenovane overitelje digitalnih potrdil (CA). To so bila včasih velika in ugledna podjetja ali vladne ustanove, ki podjetjem izdajajo certifikate oziroma digitalna potrdila, s katerimi jamčijo za njihovo istovetnost. Pri deskanju po spletu brskalnik pogleda, kdo je strani izdal certifikat. Če je izdajatelj na seznamu zaupanja vrednih CA-jev, lahko verjamemo, da smo res tam, kjer želimo biti. Kurt Seifried pa si je v članku (PDF) za majsko izdajo Linux Magazina ogledal, kako se je ta sistem v zadnjih letih izmaličil.

CA-ji so se namreč znašli med konkurenčnim tnalom in nakovalom, kar jih sili v omiljenje zahtev za izdajo certifikatov. Konkurenčni pritisk ni le znižal cen certifikatov, marveč tudi poenostavil njihovo pridobivanje. Če je bilo treba včasih za pridobitev na vse možne načine dokazati upravičenost in istovetnost prosilca, je danes pri nekaterih CA-jih dovolj, da lahko prejemamo pošto na naslov ssladministrator@domena ali nekaj drugih podobnih naslovov. Tako lahko zlikovci z malo truda dobijo certifikat legitimne strani.

Nadaljnji problem je, da so tudi tako malomarni CA-ji v seznamu zaupanja vrednih izdajateljev v brskalnikih, tako da jim brskalnik brez dodatnih nastavitev avtomatsko zaupa. Še več, Seifried je ugotovil, da je izjemno enostavno dodati nov CA v brskalnik. Zaradi lažjega spremljanja razvoja dogodkov si je izbral Firefox in ugotovil, da lahko z malo truda v dveh tednih skupnost Mozilla prepriča, da v repozitorij zaupanja vrednih izdajateljev doda nov CA, ki ima morda zle namene ali pa je zgolj neznan. In vsi uporabniki novih različic spletnega brskalnika bodo verjeli stranem, za katere bo certifikat podpisal novi, neznani CA.

Komu torej lahko zaupamo?

8 komentarjev

Mitch ::

Tak sistem vrhnjih "top" overiteljev se mi ni nikoli dopadel... Bolje bi bilo, da bi vsaka država imela enega overitelja za katerega bi ta država tudi garantirala... Monopol gor ali dol... Konkurenčnost ni vedno najboljša rešitev...

jlpktnst ::

Kapitalizem ftw :)

Tomas 33 ::

Očitno je postal denar globalni trusted root authority.

denial ::

Konkreten primer: KLIK
SELECT finger FROM hand WHERE id=3;

jlpktnst ::

In norci odprejo "public discussion" za odstranitev tega :D Itak da se nobenmu ne da ukvarjat in bo trajal predolgo.

MrStein ::

. Zaradi lažjega spremljanja razvoja dogodkov si je izbral Firefox in ugotovil, da lahko z malo truda v dveh tednih skupnost Mozilla prepriča, da v repozitorij zaupanja vrednih izdajateljev doda nov CA, ki ima morda zle namene ali pa je zgolj neznan.

Super, pol pa naj slovenski CA dodajo;)

(če še ni)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Looooooka ::

MrStein mi ne bi nc profitiral...bi nas pac slovenski CA zacel nategovat za predrage certifikate.

Lipicnik ::

SSL certifikati že zelo dolgo ne rešujejo več problemov, ki nastajajo na spletu. Prvi razlog je vsekakor ta, da je low cost SSL certifikat mogoče dobiti brez preverjanja identitete. Nasploh pa je samo izhodiščno pričakovanje, da SSL certifikati potrjujejo identiteto popolnoma napačno. SSL certifikati potrjujejo samo to, da bo ključ izdajatelja ostal v njihovih rokah (da ne bo dobil nog) in da je komunikacija klient-strežnik do te mere zaščitena z enkripcijo. Zato izdajatelji SSL certifikatov ne delajo ničesar narobe, pač pa so pričakovanja okolice mnogo prevelika. Kar je seveda voda na njihov mlin. Sicer pa se daleč največ prevar povezanih z identiteto tako ali tako pripravi na vstopnih spletnih straneh, ki niso pod https protokolom, pač pa lepo enostavno pod http-jem. Ko se stranke nalovi se jih pelje lepo do SSL zaščitenih strani (z veljavnim low cost SSL certom) in ... od tu naprej je vse mogoče.

Prav neverjetno je, da opozarjamo na nevzdržno situacijo na tem področju že vsaj štiri leta, pa se prav malo stvari spremeni. Včasih smo imeli razmerje 80:20, kar je pomenilo, da 80% obiskovalcev obiskuje 20% spletnih strani. Danes je razmerje 95:5. Dejansko Internet postaja monopol parih podjetij, ostali naj se po njihovi logiki otepajo s sidromom nevarne ulice do srečnega zaključka. Zato velikim ni v interesu ureditev vprašanj identitete, varnosti in s tem večjega vsesplošnega zaupanja na internetu in hitrejšega razvoja poslovanja. V resnici so interesi največjih prav nasprotni. Na zadnji konferenci o spletni varnosti ISSE sem govoril prav to. A kaj ko vse te stvari ostajajo na akademski ravni, v praksi pa gredo stvari svojo pot. Me pa veseli, da še kdo opazi tovrstno problematiko. Lep pozdrav vsem skupaj.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20185321 (59516) MrStein
»

Vdor v indijski NIC na splet poslal lažne certifikate

Oddelek: Novice / Varnost
64562 (2841) s6c-gEL
»

Nekaj gnilega je v deželi certifikatski

Oddelek: Novice / Ostala programska oprema
84651 (3363) Lipicnik
»

Bo Mozilla zaupala kitajskemu CA?

Oddelek: Novice / Brskalniki
133994 (3480) MrStein

Več podobnih tem