Исследователи создали TLS расширение, обнаруживающие поддельные SSL-сертификаты
Для проверки подлинности SSL-сертификатов расширение TACK
TLS совмещает проверку открытого ключа с самоподписанным ключом.
Исследователи безопасности Тревор Перрен (Trevor Perrin) и
Мокси Мерлинспайк (Moxie Marlinspike) разработали протокол Transport Layer
Security (TLS), который позволит web-обозревателям определять и блокировать
поддельные SSL-сертификаты.
Новый метод выявления мошенничества был реализован в
приложении TACK (Trust Assertions for Certificate Keys), которое в настоящий
момент представлено на рассмотрение Инженерного совета Интернета (Internet
Engineering Task Force, IETF). IETF - это международное сообщество, которое
занимается развитием протоколов и архитектуры Интернета.
С помощью TACK владелец домена может сгенерировать пару
закрытого и открытого ключей, называемых TACK-ключами. Закрытый ключ
используется для подписи открытого TLS-ключа сервера, который в настоящее время
используется браузерами для проверки подлинности SSL-сертификатов. Затем
открытый TACK-ключ отправляется браузеру и используется для проверки
подлинности, подписанного с помощью TACK, TLS-ключа.
В некоторых исключительных случаях браузер может привязать
открытый TACK-ключ, полученный от сервера, к доменному имени. Если атакующий
попытается осуществить подмену SSL-сертификата для привязанного домена,
проверка подлинности сертификата завершится неудачей и браузер не авторизует
это подключение.
Как пояснили исследователи, TACK – это попытка решить
проблему доверия, связанную с инфраструктурой открытых ключей. По их словам,
ненадежность SSL-сертификатов стала очевидной в прошлом году после нескольких
инцидентов безопасности в центрах сертификации Comodo и Diginotar.
Напомним, что после обоих случаев компрометации компаний
злоумышленники получили возможность создавать поддельные SSL-сертификаты таких
популярных доменов как google.com, hotmail.com или mail.yahoo.com. Более того,
в случае с Diginotar поддельные сертификаты активно использовались для
проведения атак на иранских пользователей Google.
Т. Перрен и М. Мерлинспайк также отметили, что в современных
условиях распространения новых технологий сложно предугадать насколько
популярным станет TACK даже несмотря на возможное одобрение со стороны
IETF.
Ознакомиться с
другими новостями по данной тематике Вы можете в рубрике Безопасность.
По материалам
Securitylab.ru