Sestup a pád certifikačních autorit a co s ním

Foo Bar , 04. prosinec 2012 07:15 18 komentářů

Je veřejným tajemstvím, že s certifikačními autoritami (dále v našem malém komentáři jen CA) a infrastrukturou veřejných klíčů není tak něco úplně v pořádku. Pád DigiNotar a napadení Comodo jsou pravděpodobně jen pomyslnou špičkou ledovce.

Kromě těchto spíše implementačních problémů celý model PKI selhává i na mnohem hlubší vrstvě, problém je už v samotném konceptu. Všechny certifikační autority jsou si rovny – pro aplikace je certifikát vydaný CA Verisign nebo CA čínského CNNICu stejně důvěryhodný. Pokud je tedy jen jedna jediná CA pochybná, nebo třeba jen příliš benevolentní, je automaticky stejně tak slabý celý řetěz a to bez ohledu na sebepřísnější pravidla u těch ostatních.

Další problém spočívá v postupném zředění kontrol – k vydání podvodného certifikátu dnes stačí, abyste ovládli DNS cílové domény. Největší chybou je ovšem onen nešťastný dialog, který nás varuje před neplatným certifikátem, a který asi každý z nás alespoň jednou otráveně odklikl.

Znamená to, že je s důvěrou na síti konec? Podle mého názoru ne, elegantním řešením jak celý problém vyřešit může být třeba nadstavbový protokol DANE. Za celým protokolem je jednoduchá úvaha: jedině vlastník domény ví sám nejlépe, jaký certifikát se má pro tuto doménu používat.

DANE pak přidává do DNS nový záznam TLSA, který obsahuje otisk veřejného klíče certifikátu. Tento otisk je do DNS uložen vlastníkem domény a pokud je tento otisk získán bezpečným způsobem (DNSSEC) a souhlasí s certifikátem služby, na kterou se připojujeme, tak bude uživatel v pořádku spojen. Na druhou stranu, pokud otisk certifikátu nesouhlasí, dojde k přerušení spojení a uživatel bude před podvodnou službou ochráněn.

Kromě této kontroly umí protokol DANE také legitimizovat tzv. self-signed certifikáty, což by mohlo pomoci rozšířit bezpečnost i do oblastí, kde by se z finančních důvodů komerční certifikát nevyplatil.

Foo Bar

Foo Bar

Autor pracuje jako vedoucí Laboratoří CZ.NIC odpovědný za tým hledající problémy spojené s bezpečností Internetu a navrhující jejich řešení. Pro sdružení pracuje od roku 2005.

Teoretické znalosti získal studiem informatiky na MFF UK v Praze, praktické pak ve společnosti ACTIVE 24. Je rovněž zakladatelem českého lokálního týmu Ubuntu Linux.


Komentáře

Michal Kubeček #1
Michal Kubeček 04. prosinec 2012 10:46

Titulek je zavádějící, co autor sní, jsme se z článku nedozvěděli. :-)

Vladimír Horák #2
Vladimír Horák 04. prosinec 2012 11:12

Protože v článku je překlep - místo "DANE" mělo být jistě "DANONE" :)

Tany #3
Tany 04. prosinec 2012 23:31

Ten text má nějaký význam, nebo má autor od někoho kvótu na počet příspěvků ročně ?

Jak dlouho Vám trvalo zbastlit tento text, půl hodiny ? Informační hodnotu to má na úrovni bodu mrazu ...

Foo Bar 06. prosinec 2012 13:22

Bohužel zadání znělo 1500 znaků, jestli do takhle krátkého textu dokážete nacpat mnoho informační hodnoty, tak jste frajer!

Karel Wolf 06. prosinec 2012 13:50

Myslím, že příspěvek reagoval spíše na komentář nad ním. Ale jinak se omlouvám, pokud došlo k informačnímu šumu, 1500 znaků bylo myšleno spíše jako minimální rozsah :)

Foo Bar 06. prosinec 2012 15:39

Tak to mě mrzí, protože mi to dalo docela zabrat to zredukovat na 1500 znaků a zachovat alespoň trochu smyslu... tak třeba příště.

Ludmila Vinařová 01. únor 2013 03:38

Dovolte já se připojím : To je sranda == to musíte zvládnout i do 500♥

LV. TŘEBENICKO♥CZ

žena, matka dvou holčinek a momentálně bez práce a do týdne budu i bez auta = a to mne zlobí jen manžel = tak nevím proč se stále mstí, že jsem byla jen VÍCE AKTIVNÍ V OBCHODOOVÁNÍ V NAŠÍ VLASTNÍ FIRMĚ VYBUDOVANÉ OOD NULKY S FAXEM NA LEASIING A JE TO ZPĚT JIŽ 16LET a pak jsem mu jen přišla na obyčejnou NEVĚRU V NAŠEM MANŽELSKÉM VZTAHU ==== NYNÍ UŽ JEN PPAPÍROVÉM = UŽ SE I DOODSTĚHOVÁVÁ = TAKŽE PÍSAT BUDU A VŠUDE , DE MNE TOO ZAJJÍMÁ :-). ukončím podpis elektronický a snad ho i uložím a pak mizím zase o kus dál , tak případné otázky na elpo:ludmila.vinarova-infos@seznam.cz

S úctou ke každé práci kdo ji dělá minimálně 3- a více let na stejném místě , protože PPAK JSTE DOOKONALÝ A NASTANE JEN PROBLÉM , KDYŽ PŘEROOSTTETE VLASTNÍHO ŠÉFA = A KU MÉMU MÍNUSU = JIŽ OFIKO PROMTNĚ ŠŤASTNÉHO = ŽE MNE POLOŽÍ SNAD ZNOVU NA LOPATKY A JÁ DO TOMNE TAM ODVEZE A SÁM = PROTOŽE DOKTORKY I JÁ JSME OPROTI NĚMU V NAPROSTÉM POŘÁDKU::-)HO BOHNICKÉHO ÚSTAVU OOPRAVDU

Vít Hnilica 05. prosinec 2012 01:32

"Další problém spočívá v postupném zředění kontrol – k vydání podvodného certifikátu dnes stačí, abyste ovládli DNS cílové domény" a "DANE pak přidává do DNS nový záznam TLSA, který obsahuje otisk veřejného klíče certifikátu."
jako proti DANE nic nemam, spis naopak. ale operovat proti CA s tim ze utocnikovi staci "jen" ovladnout DNS a jako reseni je dat certifikat do te ovladnute DNS mi pride trosku smesne...

Foo Bar 06. prosinec 2012 13:23

Na DNS si musíte dát pozor tak jako tak. Celková bezpečnost se tím, že použijeme DNS nesníží, ale spíše zvýší. A to je cílem.

vit hnilica #11
vit hnilica 06. prosinec 2012 15:52

To je pravda, na to overeni certifikacni autoritou utocnik dns pozmeni jen na chvili. Zato kdyby tam mel mit svuj certifikat trvale, tak by si toho admin za naky cas snad vsiml. Bezpecnost se teda trosku zvysi. Jak to bylo mysleny jsem nepobral asi kvuli tomu scuknuti na 1500 znaku:D

Filip Oščádal #12
Filip Oščádal 06. prosinec 2012 18:48

DANE je o tom, že majitel domény by měl kontrolovat, přes který certifikát se připojíte, neměl by si to kontrolovat pouze uživatel, že "má zamčeno" - tj. nebude možné tak snadno podvrhnout např. StartSSL certifikát, pro jehož vytvoření stačí jen přístup k postmaster@ či webmaster@ e-mailu.

Ondřej Surý o tom dobře hovořil i na konferenci IT 12.

tuxmartin #5
tuxmartin 06. prosinec 2012 12:33

"Kromě této kontroly umí protokol DANE také legitimizovat tzv. self-signed certifikáty, což by mohlo pomoci rozšířit bezpečnost i do oblastí, kde by se z finančních důvodů komerční certifikát nevyplatil."

A proto se to zadne CA nebude libit.

Foo Bar 06. prosinec 2012 15:39

Nebude, ale jejich byznys zůstane u EV certifikátů, což je něco, kde certifikační autority mají a dávají smysl.

Filip Oščádal #13
Filip Oščádal 06. prosinec 2012 18:57

vystavení StartSSL certifikátu a jeho nasazení je otázkou cca 10 minut (když už máte nějakou praxi a klientský certifikát), takže není důvod, aby se to někomu nevyplatilo, jediný problém vidím s vazbou 1 IP / 1 certifikát (SNI není podporováno Androidu 2.* a starším IE)

amp #17
amp 23. leden 2013 07:57

Další problém se StartSSL certifikátem je, že není podporován na platformě WindowsPhone.

CloudFlare SSL #14
CloudFlare SSL 06. prosinec 2012 18:58

zajímalo by mne, co si myslí Ondřej o CloudFlare SSL Reverse CDN Proxy?

Foo Bar 07. prosinec 2012 10:24

Měl by být CloudFlare v něčem speciální?

Každá SSL proxy umožňuje provozovali té proxy vidět obsah spojení, a to jestli to provozovateli (a uživatelům) vadí nebo ne, a jak je to smluvně zajištěno je otázka pro tyto dvě strany, které se podílí na vytvoření zabezpečeného spojení.

Filip Oščádal #16
Filip Oščádal 27. prosinec 2012 12:44

spíš jsem myslel fakt, že CloudFlare šifruje spojení svým certifikátem, SSL certifikát serveru je použit pouze pro spojení s CloudFlarem

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







RSS 

Zprávičky

Seznam loni zvýšil čistý zisk o 9 % na 1,1 miliardy Kč

ČTK , 18. říjen 2017 10:00

Největší podíl na tržbách měly příjmy z reklamy ve vyhledávání, tedy z reklamního systému Sklik. ...

Více 0 komentářů

Díky ultrabookům se trh PC má vrátit k růstu

Pavel Houser , 18. říjen 2017 09:00

Hlavním faktorem ovlivňujícím trh PC je delší doba, po kterou je lidé používají; nový chytrý telefon...

Více 0 komentářů

Dopravní podnik spustil v 6 stanicích metra wi-fi připojení k internetu

ČTK , 18. říjen 2017 08:00

Ve stanicích je rozmístěno 75 vysílačů a dodavatelská firma musela vybudovat veškerou infrastrukturu...

Více 0 komentářů

Starší zprávičky

Digitální kancelář

Intexx, 18. říjen 2017 08:00

Ať už na intranetu, extranetu nebo na sociální platformě – vytvořte si s Intrexxem snadno a na míru ...

Více

Microsoft uvolnil Fall Creators Update Windows 10

Pavel Houser , 17. říjen 2017 19:02

Smíšená realita, komfort pro e-knihy, ochrana před ransonmwarem a efektivnější propojení PC se smart...

Více 0 komentářů

Vůz bez řidiče Link & Go jezdil v Plzni, ve středu se chystá do Prahy

ČTK , 17. říjen 2017 17:49

Vůz Link & Go je pro inženýry vzor, který už je odzkoušený a funguje jako prototyp....

Více 0 komentářů

Závažná chyba v protokolu WPA2 (aktualizace)

Pavel Houser , ČTK , 17. říjen 2017 16:25

Odborníci z univerzity v belgické Lovani odhalili závažnou chybu ohrožující bezpečnost internetového...

Více 0 komentářů