Исследователи создали TLS расширение, обнаруживающие поддельные SSL-сертификаты

Исследователи создали TLS расширение, обнаруживающие поддельные SSL-сертификаты

Толковый словарь

Для проверки подлинности SSL-сертификатов расширение TACK
TLS совмещает проверку открытого ключа с самоподписанным ключом.

Исследователи безопасности Тревор Перрен (Trevor Perrin) и
Мокси Мерлинспайк (Moxie Marlinspike) разработали протокол Transport Layer
Security (TLS), который позволит web-обозревателям определять и блокировать
поддельные SSL-сертификаты.

Новый метод выявления мошенничества был реализован в
приложении TACK (Trust Assertions for Certificate Keys), которое в настоящий
момент представлено на рассмотрение Инженерного совета Интернета (Internet
Engineering Task Force, IETF). IETF — это международное сообщество, которое
занимается развитием протоколов и архитектуры Интернета.

С помощью TACK владелец домена может сгенерировать пару
закрытого и открытого ключей, называемых TACK-ключами. Закрытый ключ
используется для подписи открытого TLS-ключа сервера, который в настоящее время
используется браузерами для проверки подлинности SSL-сертификатов. Затем
открытый TACK-ключ отправляется браузеру и используется для проверки
подлинности, подписанного с помощью TACK, TLS-ключа.

В некоторых исключительных случаях браузер может привязать
открытый TACK-ключ, полученный от сервера, к доменному имени. Если атакующий
попытается осуществить подмену SSL-сертификата для привязанного домена,
проверка подлинности сертификата завершится неудачей и браузер не авторизует
это подключение.

Как пояснили исследователи, TACK – это попытка решить
проблему доверия, связанную с инфраструктурой открытых ключей. По их словам,
ненадежность SSL-сертификатов стала очевидной в прошлом году после нескольких
инцидентов безопасности в центрах сертификации Comodo и Diginotar.

Напомним, что после обоих случаев компрометации компаний
злоумышленники получили возможность создавать поддельные SSL-сертификаты таких
популярных доменов как google.com, hotmail.com или mail.yahoo.com. Более того,
в случае с Diginotar поддельные сертификаты активно использовались для
проведения атак на иранских пользователей Google.

Т. Перрен и М. Мерлинспайк также отметили, что в современных
условиях распространения новых технологий сложно предугадать насколько
популярным станет TACK даже несмотря на возможное одобрение со стороны
IETF. 

Ознакомиться с
другими новостями по данной тематике Вы можете в рубрике Безопасность.

По материалам
Securitylab.ru

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных