Разработчики браузеров пытаются повысить безопасность SSL

Сейчас все больше пользователей выходит в интернет через публичные точки доступа, например в кафе или аэропортах. Как следствие, растет количество взломов аккаунтов пользователей, путем использования перехвата трафика.

До сих порт протокол HTTPS считался достаточно защищенным от орудующих в публичных местах злоумышленников. Протокол использует криптостойкие алгоритмы шифрования, надежность которых основана основана на выданных удостоверяющими центрами (CA) сертификатах. Однако недавние события вызвали большие сомнения в безопасности данного протокола, а разработчики браузеров очень обеспокоены.

Легко вспомнить два крупных скандала прошлого года, которые связанны с компроментацией удостоверяющих центров. В конце марта прошлого года компания Comodo заявила о том, что хакерам удалось получить девять корректных HTTPS-сертификатов для популярных ресурсов. Методика проверки состояния и отзыва сертификатов тогда была основана на списках CTL и протоколе OSCP. Она подверглась критике, а разработчики браузеров экстренно обновили локальные списки.

Еще один случай произошел в конце августа и был он связан с удостоверяющим центром DigiNotar. Кстати сам отчет о хакерской атаке был опубликован на сайте этой компании. И если верить анонимному заявлению, хакеры смогли получить доступ к четырем удостоверяющим центрам, среди которых которых StartCom и GlobalSign. Так же утверждалось, что доступ к системам ресселеров Comodo у организаторов хакерской атаки остался.

Видимо уровень безопасности управляющих центов не настолько высок, как бы нам хотелось. Естественно ведущие этот бизнес компании приняли все меры, но практика говорит о том, что совершенной защиты не бывает.

В компании Google сейчас планируют отказаться от использования в Chrome онлайн-проверок состояния сертификатов с использованием OCSP и CRL. Такой подход компания считает неэффективным, когда доверенный центр сертификации недоступен. В таком случае многие браузеры считают сертификат корректным и хакеры могут легко воспользоваться ситуацией, блокирую доступ к службам онлайн-проверок. Гугл предлагают заменить этот механизм периодически обновляемым локальным списком отозванных сертификатов.

А тем временем, фонд Mozilla поставил удостоверяющим центам ультиматум, требуя до 27 апреля отозвать выданные сторонним организациям вторичные корневые сертификаты. И если это не будет выполнено, то сертификаты удостоверяющих центров будут удалены из встроенных списков продуктов компании. В таком случае, все сертификаты, выданные «опальным» центрам, будут определяться в Firefox как некорректные, что является вполне серьезной угрозой.

Меры жесткие, но нельзя не согласиться с разработчиками браузеров в том, что порядок в системе выдачи сертификатов нужно наводить.

Опубликовано: 02.03.2012