Mozilla korenskim overiteljem naložila obsežen varnostni pregled
Mandi
11. sep 2011 ob 16:59:05
Po seriji alarmantnih vdorov v korenske overitelje (root CA) Comodo, DigiNotar in potencialno še v GlobalSign, imajo ponudniki brskalnikov počasi dovolj "popravljanja za nazaj" z brisanjem spornih certifikatov iz svoje baze zaupanja vrednih overiteljev. Med samim vdorom in izbrisom lahko namreč mine kar nekaj časa in ves ta čas so uporabniki potencialno izpostavljeni vdoru ali nadzoru v njihove priljubljene servise. To pa uničuje zaupanje, ki je nujno za delovanje internetne ekonomije in ki so ga dolga leta le počasi vzpostavljali.
Mozilla je zdaj poslala nujni poziv vsem overiteljem, ki so vključeni v njihovo bazo (okoli 50). Poziv jih prosi, da takoj izvedejo obsežno varnostno preverjanje postopka izdajanja certifikatov in rezultate v tednu dni sporočijo Mozilli:
- Preveriti morajo svoj toolkit za izdajo certifikatov (PKI), vključno s toolkiti svojih zastopnikov (tu je pogorel Comodo).
- Mozilli morajo tudi poslati seznam vseh teh zastopnikov, skupaj z opisi njihovih varnostnih protokolov.
- Posebej morajo preveriti, da je za vse uporabniške račune, ki imajo pravico podpisovati certifikate, potrebna prijava z več stopnjami (multi-factor authentication), se pravi, ne zgolj z Windows Domain geslom, kot je bil primer pri DigiNotarju.
- Imeti morajo, oz. pod nujno vzpostaviti sistem, ki zazna zahtevke za podpis "visokovredne domene" (npr. mail.google.com, microsoft.com, amazon.com) in v teh primerih opraviti dodatna, ročna preverjanja.
Kathleen Wilson, odgovorna za vodenje certifikatov v Mozillinih izdelkih Firefox in Thunderbird, je ob tem povedala, da bodo v primeru nespoštovanja teh zahtev naredili vse potrebno za zavarovanje svojih uporabnikov. To bi lahko pomenilo tudi preklic ali brisanje katerega od CA-jev iz baze, morda že v naslednjem popravku Firefoxa ali sveži izdaji 7.0, ki je pred vrati. Če ni nič drugega, pa bodo s tem dobili obsežen in podroben popis zastopniške mreže izdajateljev certifikatov, ki je kar malo preveč zrasla zaradi želje po ustvarjanju dobička in brez nujnih ukrepov za zagotovitev potrebne varnosti.