Prije ste znali da možete vjerovati web-mjestu kada se vaš web-preglednik sigurno poveže s njim valjanom HTTPS vezom. Sada je to povjerenje poljuljano.
Evo kako je došlo do ovog najnovijeg fijaska mrežne sigurnosti. DigiNotar je 28. kolovoza razbijen od strane a Kreker koji govori farsi, vjerojatno iz Irana. Kad je jednom ušao, mogao je raznim zlonamjernim ISP-ovima izdati certifikate javnih ključeva za brojne legitimne stranice, poput Googlea i Microsofta.
Dakle, što je to značilo za korisnike? Recimo da ste bili u Teheranu i da želite provjeriti svoj Gmail račun. Ako se prijavite na svoj račun, a vaš ISP je oštećen ili je upleten u prijevaru sa SSL certifikatom, izgledalo bi da imate normalnu sigurnu vezu s Gmailom. krivo
Prema Googleu ono što se zapravo dogodilo je da ste uhvaćeni u napadima SSL čovjeka u sredini (MITM). Naoružani lažnim SSL certifikatom, krekeri - možda iranska vlada - mogli su gledati i čitati vaš promet e-pošte ide naprijed-natrag između vašeg računala i Googlea i mnogih drugih web stranica, usluge.
Radi ovako. Web poslužitelji i preglednici oslanjaju se na SSL ili TLS za stvaranje šifriranog kanala za privatnu komunikaciju putem Interneta. Svaki SSL certifikat sastoji se od javnog i privatnog ključa. Javni ključ se koristi za šifriranje informacija, a privatni ključ za njihovo dešifriranje. Kada web preglednik usmjeri na zaštićenu domenu, uspostavlja se šifrirana veza na temelju vrste SSL certifikata; klijentski web preglednik; operacijski sustav; i mogućnosti web poslužitelja.
HTTPS veza obično koristi 128 do 256-bitnu enkripciju. Iako je to lomljivo, to je izvan mogućnosti većine krekera. Međutim, ako netko dobije lažni SSL certifikat, vaš će promet ići naprijed-natrag, naizgled normalno, ali zapravo svaki bajt koji šaljete i primate pomoću lažnog certifikata može pročitati čovjek u sredini kreker.
Dok su neki web preglednici, poput Chromea, još uvijek mogli uhvatiti da nešto nije u redu i upozoriti korisnike da postoji nešto sumnjivo u vezi s njihovom vezom, drugi nisu bili te sreće. Međutim, rano ujutro u nedjelju Google, Mozilla i Microsoft su shvatili što se događa i zabranili lažne DigiNotar certifikate u svojim preglednicima.
Da budem dvostruko siguran, Microsoft je danas, 6. rujna, zabranio korištenje svih SSL certifikata DigiNotara. Iako je Microsoft to uspio učiniti s modernim verzijama sustava Windows, to je još uvijek moguće za Windows XP i Windows Server 2003 korisnici za povezivanje putem lažno osigurane veze. Microsoft navodi da će uskoro izdati zakrpu. U međuvremenu, da sam na vašem mjestu, koristio bih Googleov web preglednik Chrome a ne koristiti Windows Update dok se ovaj problem jednom zauvijek ne riješi.
AŽURIRANJE 7. rujna: Microsoft je izdao svoju ažuriranu CA listu za XP i 2003. Ažurirajte svoje sustave sada.
Ovo, dopustite mi da naglasim, nije Windows, Mac OS X ili Linux problem. To čak nije ni problem preglednika sam po sebi. To je problem s pouzdanim internetskim izvorom koji je ugrožen i svi ostali potencijalno plaćaju cijenu. Problem iza sigurnosnog problema preglednika je taj što je sada pokazano da ono što je do sada bio pouzdani CA može biti hakirano. Za one od nas koji smo ozbiljno zabrinuti za sigurnost, to znači da više ne možemo pretpostaviti da je čak i HTTPS veza vjerojatno sigurna. Predivno. Baš divno.
Povezane priče:
Google, Mozilla i Microsoft zabranjuju DigiNotar Certificate Authority u svojim preglednicima
Facebook, Google, CIA, MI6 na meti hakiranja certifikata nizozemske vlade
Twitter dodaje SSL sigurnost
Otimaju li se vaši upiti u tražilici?
Daleko smo, daleko od toga da web osiguramo SSL/TLS-om