Исследователи создали TLS расширение, обнаруживающие поддельные SSL-сертификаты

Исследователи безопасности Тревор Перрен (Trevor Perrin) и Мокси Мерлинспайк (Moxie Marlinspike) разработали протокол Transport Layer Security (TLS), который позволит web-обозревателям определять и блокировать поддельные SSL-сертификаты.

Новый метод выявления мошенничества был реализован в приложении TACK (Trust Assertions for Certificate Keys), которое в настоящий момент представлено на рассмотрение Инженерного совета Интернета (Internet Engineering Task Force, IETF). IETF - это международное сообщество, которое занимается развитием протоколов и архитектуры Интернета.

С помощью TACK владелец домена может сгенерировать пару закрытого и открытого ключей, называемых TACK-ключами. Закрытый ключ используется для подписи открытого TLS-ключа сервера, который в настоящее время используется браузерами для проверки подлинности SSL-сертификатов. Затем открытый TACK-ключ отправляется браузеру и используется для проверки подлинности, подписанного с помощью TACK, TLS-ключа.

В некоторых исключительных случаях браузер может привязать открытый TACK-ключ, полученный от сервера, к доменному имени. Если атакующий попытается осуществить подмену SSL-сертификата для привязанного домена, проверка подлинности сертификата завершится неудачей и браузер не авторизует это подключение.

Как пояснили исследователи, TACK – это попытка решить проблему доверия, связанную с инфраструктурой открытых ключей. По их словам, ненадежность SSL-сертификатов стала очевидной в прошлом году после нескольких инцидентов безопасности в центрах сертификации Comodo и Diginotar.

Напомним, что после обоих случаев компрометации компаний злоумышленники получили возможность создавать поддельные SSL-сертификаты таких популярных доменов как google.com, hotmail.com или mail.yahoo.com. Более того, в случае с Diginotar поддельные сертификаты активно использовались для проведения атак на иранских пользователей Google.

Перрен и Мерлинспайк также отметили, что в современных условиях распространения новых технологий сложно предугадать насколько популярным станет TACK даже несмотря на возможное одобрение со стороны IETF.