»сследователи создали TLS расширение, обнаруживающие поддельные SSL-сертификаты

image

“еги: SSL, приложение, исследование

ƒл€ проверки подлинности SSL-сертификатов расширение TACK TLS совмещает проверку открытого ключа с самоподписанным ключом.

»сследователи безопасности “ревор ѕеррен (Trevor Perrin) и ћокси ћерлинспайк (Moxie Marlinspike) разработали протокол Transport Layer Security (TLS), который позволит web-обозревател€м определ€ть и блокировать поддельные SSL-сертификаты.

Ќовый метод вы€влени€ мошенничества был реализован в приложении TACK (Trust Assertions for Certificate Keys), которое в насто€щий момент представлено на рассмотрение »нженерного совета »нтернета (Internet Engineering Task Force, IETF). IETF - это международное сообщество, которое занимаетс€ развитием протоколов и архитектуры »нтернета.

— помощью TACK владелец домена может сгенерировать пару закрытого и открытого ключей, называемых TACK-ключами. «акрытый ключ используетс€ дл€ подписи открытого TLS-ключа сервера, который в насто€щее врем€ используетс€ браузерами дл€ проверки подлинности SSL-сертификатов. «атем открытый TACK-ключ отправл€етс€ браузеру и используетс€ дл€ проверки подлинности, подписанного с помощью TACK, TLS-ключа.

¬ некоторых исключительных случа€х браузер может прив€зать открытый TACK-ключ, полученный от сервера, к доменному имени. ≈сли атакующий попытаетс€ осуществить подмену SSL-сертификата дл€ прив€занного домена, проверка подлинности сертификата завершитс€ неудачей и браузер не авторизует это подключение.

 ак по€снили исследователи, TACK – это попытка решить проблему довери€, св€занную с инфраструктурой открытых ключей. ѕо их словам, ненадежность SSL-сертификатов стала очевидной в прошлом году после нескольких инцидентов безопасности в центрах сертификации Comodo и Diginotar.

Ќапомним, что после обоих случаев компрометации компаний злоумышленники получили возможность создавать поддельные SSL-сертификаты таких попул€рных доменов как google.com, hotmail.com или mail.yahoo.com. Ѕолее того, в случае с Diginotar поддельные сертификаты активно использовались дл€ проведени€ атак на иранских пользователей Google.

ѕеррен и ћерлинспайк также отметили, что в современных услови€х распространени€ новых технологий сложно предугадать насколько попул€рным станет TACK даже несмотр€ на возможное одобрение со стороны IETF. †


или введите им€

CAPTCHA
??? ???
20-05-2014 00:26:05
I really like your blog.. very nice colors & theme. Did you design this website yourself or did you hire someone to do it for you? Plz reply as I'm looking to create my own blog and would like to know where u got this from. kudos| ??? ??? http://www.exclusively-fiji.com??? ?? ?????
0 |