Разработчики Chrome не будут переходить на новую систему определения подлинности сертификатов

image

Теги: сертификат, Chrome

Исследователь безопасности группы разработчиков Google Chrome Адам Лангли написал о негативных сторонах новой технологии проверки подлинности сертификатов безопасности.

На фоне недавно разгоревшегося скандала вокруг центров сертификации DigiNotar, Comodo и пр., в среде специалистов по информационной безопасности все чаще возникает вопрос целесообразности использования модели подтверждения подлинности удаленных web-узлов, с которыми устанавливается соединение. Основная проблема заключается в том, что при подключении к удаленному серверу, определение его подлинности происходит независимо от пользователя. Это, в случае компрометации центра сертификации, делает систему уязвимой к атаке «человек посередине».

В ходе конференции по информационной безопасности Black Hat 2011, которая прошла в начале августа, исследователь по имени Моксай Марлинспайк (Moxie Marlinspike) представил новую систему подтверждения подлинности удаленных web-узлов. Принцип работы этой системы заключается в том, чтобы оперировать с помощью так называемой, сети доверия (web of trust). При использовании данной системы пользователь сам указывает центры сертификации, которым намерен доверять. Свой проект Марлинспайк назвал Convergence.

При использовании данной системы ответственность за выбор доверенных центров сертификации переходит с уровня поставщиков web-обозревателей к конкретному пользователю. Другим явным преимуществом данной системы можно назвать то, что ее применение не требует серьезных изменений в среде сертификации. Все компоненты уже существуют и функционируют, требуется только изменить подход к вопросу определения доверенных служб проверки подлинности сертификатов.

Однако исследователь безопасности группы разработчиков Google Chrome Адам Лангли (Adam Langley) написал в своем блоге о негативных сторонах технологии Convergence, и о том, почему она не сможет найти применение в web-обозревателе от Google.

Основной проблемой, по мнению исследователя, является человеческий фактор. 99,9% пользователей Chrome никогда не изменят настройки серверов подтверждения подлинности. С подобной статистикой функционал настройки выбора центров сертификации не войдет даже в графический интерфейс настроек  браузера.
Сервера, указанные в настройках по умолчанию, будут получать очень большое количество запросов. Если они не будут успевать обрабатывать эти запросы, Google придется открывать собственные центры проверки сертификации, а это дополнительные затраты.

Также применение технологии Convergence не решает многих проблем, связанных с SSL-сертификатами.

Таким образом, вопрос выбора способа определения подлинности сертификата безопасности до сих пор остается открытым. Специалистам ИБ еще предстоит решить задачу безопасного и удобного решения проблемы защиты от перехвата и считывания трафика.

Запись на блоге Адама Лангли можно просмотреть здесь..

Видео с описанием системы Convergence можно просмотреть здесь.


или введите имя

CAPTCHA
Дмитрий
09-09-2011 15:30:44
99,9% пользователей ... никогда не изменят настройки серверов подтверждения подлинности. И тут он полностью прав
0 |
Любитель Окошек
09-09-2011 17:21:34
Думаю, немного ошибся - 99,9999%
0 |
Ваше имя*
09-09-2011 19:45:36
Значит трояны и прочая нечисть им поможет изменить настройки
0 |
пельмешка
09-09-2011 23:02:19
да как бы не так, проще свалить все на тупой и дырявый браузер нежели самому почесаться
0 |
Кило свежеотмороженой пингвиня...
10-09-2011 00:30:36
А ещё проще создать игрушку которая не ставится пока ты не сделаешь тото-тото-тото....И игрушка заработает. Ну например Симс.
0 |
Дмитрий
10-09-2011 10:27:24
Удивляюсь, что не прозвучало название PGP, где сеть доверий - одна из основ и успешно используется много лет. Подход действительно предполагает, что пользователь сам регулирует свои доверия и степень ответственности. Но ничего особо сложного там нет. Любая защита на самом деле предполагает некую степень ответственности и понимания. Скрывать это от пользователя глупо.
0 |
Laboratoruim
12-09-2011 10:17:10
Не понимаю...разницы-то никакой нет...что ты сам выбираешь центр сертификации, что за тебя выбирают...как это поможет бороться с угрозой MAN-IN-THE-MIDLE? Фэйковая тема - опять самопиар айтишников-блогеров на пустом месте.
0 |
FilimoniC
12-09-2011 10:54:55
MITM-атака на SSLv3 возможна только если у жертвы установлен и доверен сертификат центра сертификации MITM-атакующего. До того момента все соединения, защищенные сертификатом атакующего, будут "самоподписанными".
0 |
Oleg
12-09-2011 15:48:32
До прошлой недели DigiNotar был установлен и доверен практически у всех.
0 |
Илья
28-02-2012 11:47:58
Установил Google Chrome. При входе пишет "Для доступа на сервер www.google.com:80 требуется указать имя пользователя и пароль" Что это??
0 |
Илья
28-02-2012 11:51:37
Разобрался!
0 |
Дима
05-12-2012 20:35:18
Как разобрался??? Такая же тема!!
0 |