10 Июня, 2013

Кто уполномочил уполномоченного?

InfoWatch
Вот вчера некоторые, перепутав технический аспект с организационным, стали мне рассказывать про SSL-сертификаты для использования с протоколом HTTPS .

Система SSL-сертификатов себя дискредитировала  и от ряда злоумышленников больше не защищает. Причём, успешные атаки на эту систему носили организационный характер, никак не технический и тем более не криптографический. Вот организационный-то элемент защиты и оказался очень слабым звеном.

Весь эффект SSL-сертификации для пользователя сводится к двум состояниям: «браузер ругается» и «браузер молчит». С такой бинарностью очень трудно работать и легко злодействовать.

Браузер будет молчать, если сайтом предъявлен сертификат, цепочка удостоверения которого упирается в один из открытых ключей, хранящихся в доверенном списке браузера (или ОС, точно не помню). Цепочка! Любой длины и разнообразия. Например, весь из себя белый и доверенный "Тавте" выдаёт сертификат мексиканской компании "Тодо Бьен ЛТД", та выписывает цидулю некоей фирме "Аль Хак ибн Крак" из ОАЭ, а та выдаёт уже совсем левой конторке "Кингпин Интернейшнл", зарегистрированной в Арулько. А потом кто-то удивляется, что изготовленный в Китае перехватчик HTTPS запросто представляет от имени всех сайтов формально валидный сертификат так, что браузер не ругается. А всю цепочку оценивать пользователь не станет.

Ваш покорный слуга как-то рискнул поставить себе плагин к браузеру, который отслеживает смену сертификатов (Certificate Patrol). Не думал я, что посыпется такое количество алертов. Например, у Гугла – более сотни доменов с https, а сертификаты на них выданы беспорядочно: звёздочка (wildcard) то стоит на 4-м уровне, то на 3-м, то вообще отсутствует. Я понимаю, огромное хозяйство – бардак неизбежен. То и дело бывает, что сертификат меняется за год до истечения его срока. Иногда срок нового короче, чем срок старого. Естественно, плагин в этих случаях поднимает тревогу. И что с ней прикажете делать?

Вариант у пользователя только один – отказаться установления https-соединения. Интересно, кто-нибудь пробовал отказаться от Гугла? Думаю, жить такому параноику бодет сложнее, чем строгому вегетарианцу.

или введите имя

CAPTCHA
sprung ginednes
11 Июня, 2013
всё равно не понятно, чем предложенное вами заверение третьей стороной "добросовестности онлайн-ресурса" отличается от сертификатов. точно такое же доверие непонятно кому на основании подтверждения неизвестно кого. опять все сводится к ответственной организации верификации ресурса. как вариант например можно например организовать государственный центр выдачи сертификатов, который будет выдавать данные сертификаты онлайн-ресурсам госконтор. для банковских сайтов например можно было бы выдавать сертификаты от ЦБ и банки на своих сайтах могли бы вешать заметный значок "одобрено ЦБ", а интересующиеся могли бы проверить сертификат. но опять появляются дополнительные административные действия, что в нашей стране ведет к бюрократии, проволочкам, коррупции, бардаку и хаосу.
0 |