Nekaj gnilega je v deželi certifikatski
Matej Huš
21. apr 2010 ob 12:36:34
Pri varnem brskanju po spletu, ko moramo biti stoodstotno prepričani, da je obiskana stran res to, za kar se predstavlja, se uporablja certifikatsko podpisovanje. Gre za verigo zaupanja, kjer na vrhu najdemo tako imenovane overitelje digitalnih potrdil (CA). To so bila včasih velika in ugledna podjetja ali vladne ustanove, ki podjetjem izdajajo certifikate oziroma digitalna potrdila, s katerimi jamčijo za njihovo istovetnost. Pri deskanju po spletu brskalnik pogleda, kdo je strani izdal certifikat. Če je izdajatelj na seznamu zaupanja vrednih CA-jev, lahko verjamemo, da smo res tam, kjer želimo biti. Kurt Seifried pa si je v članku (PDF) za majsko izdajo Linux Magazina ogledal, kako se je ta sistem v zadnjih letih izmaličil.
CA-ji so se namreč znašli med konkurenčnim tnalom in nakovalom, kar jih sili v omiljenje zahtev za izdajo certifikatov. Konkurenčni pritisk ni le znižal cen certifikatov, marveč tudi poenostavil njihovo pridobivanje. Če je bilo treba včasih za pridobitev na vse možne načine dokazati upravičenost in istovetnost prosilca, je danes pri nekaterih CA-jih dovolj, da lahko prejemamo pošto na naslov ssladministrator@domena ali nekaj drugih podobnih naslovov. Tako lahko zlikovci z malo truda dobijo certifikat legitimne strani.
Nadaljnji problem je, da so tudi tako malomarni CA-ji v seznamu zaupanja vrednih izdajateljev v brskalnikih, tako da jim brskalnik brez dodatnih nastavitev avtomatsko zaupa. Še več, Seifried je ugotovil, da je izjemno enostavno dodati nov CA v brskalnik. Zaradi lažjega spremljanja razvoja dogodkov si je izbral Firefox in ugotovil, da lahko z malo truda v dveh tednih skupnost Mozilla prepriča, da v repozitorij zaupanja vrednih izdajateljev doda nov CA, ki ima morda zle namene ali pa je zgolj neznan. In vsi uporabniki novih različic spletnega brskalnika bodo verjeli stranem, za katere bo certifikat podpisal novi, neznani CA.
Komu torej lahko zaupamo?