Sestup a pád certifikačních autorit a co s ním

Foo Bar , 04. prosinec 2012 07:15 18 komentářů

Je veřejným tajemstvím, že s certifikačními autoritami (dále v našem malém komentáři jen CA) a infrastrukturou veřejných klíčů není tak něco úplně v pořádku. Pád DigiNotar a napadení Comodo jsou pravděpodobně jen pomyslnou špičkou ledovce.

Kromě těchto spíše implementačních problémů celý model PKI selhává i na mnohem hlubší vrstvě, problém je už v samotném konceptu. Všechny certifikační autority jsou si rovny – pro aplikace je certifikát vydaný CA Verisign nebo CA čínského CNNICu stejně důvěryhodný. Pokud je tedy jen jedna jediná CA pochybná, nebo třeba jen příliš benevolentní, je automaticky stejně tak slabý celý řetěz a to bez ohledu na sebepřísnější pravidla u těch ostatních.

Další problém spočívá v postupném zředění kontrol – k vydání podvodného certifikátu dnes stačí, abyste ovládli DNS cílové domény. Největší chybou je ovšem onen nešťastný dialog, který nás varuje před neplatným certifikátem, a který asi každý z nás alespoň jednou otráveně odklikl.

Znamená to, že je s důvěrou na síti konec? Podle mého názoru ne, elegantním řešením jak celý problém vyřešit může být třeba nadstavbový protokol DANE. Za celým protokolem je jednoduchá úvaha: jedině vlastník domény ví sám nejlépe, jaký certifikát se má pro tuto doménu používat.

DANE pak přidává do DNS nový záznam TLSA, který obsahuje otisk veřejného klíče certifikátu. Tento otisk je do DNS uložen vlastníkem domény a pokud je tento otisk získán bezpečným způsobem (DNSSEC) a souhlasí s certifikátem služby, na kterou se připojujeme, tak bude uživatel v pořádku spojen. Na druhou stranu, pokud otisk certifikátu nesouhlasí, dojde k přerušení spojení a uživatel bude před podvodnou službou ochráněn.

Kromě této kontroly umí protokol DANE také legitimizovat tzv. self-signed certifikáty, což by mohlo pomoci rozšířit bezpečnost i do oblastí, kde by se z finančních důvodů komerční certifikát nevyplatil.

Foo Bar

Foo Bar

Autor pracuje jako vedoucí Laboratoří CZ.NIC odpovědný za tým hledající problémy spojené s bezpečností Internetu a navrhující jejich řešení. Pro sdružení pracuje od roku 2005.

Teoretické znalosti získal studiem informatiky na MFF UK v Praze, praktické pak ve společnosti ACTIVE 24. Je rovněž zakladatelem českého lokálního týmu Ubuntu Linux.


Komentáře

Michal Kubeček #1
Michal Kubeček 04. prosinec 2012 10:46

Titulek je zavádějící, co autor sní, jsme se z článku nedozvěděli. :-)

Vladimír Horák #2
Vladimír Horák 04. prosinec 2012 11:12

Protože v článku je překlep - místo "DANE" mělo být jistě "DANONE" :)

Tany #3
Tany 04. prosinec 2012 23:31

Ten text má nějaký význam, nebo má autor od někoho kvótu na počet příspěvků ročně ?

Jak dlouho Vám trvalo zbastlit tento text, půl hodiny ? Informační hodnotu to má na úrovni bodu mrazu ...

Foo Bar 06. prosinec 2012 13:22

Bohužel zadání znělo 1500 znaků, jestli do takhle krátkého textu dokážete nacpat mnoho informační hodnoty, tak jste frajer!

Karel Wolf 06. prosinec 2012 13:50

Myslím, že příspěvek reagoval spíše na komentář nad ním. Ale jinak se omlouvám, pokud došlo k informačnímu šumu, 1500 znaků bylo myšleno spíše jako minimální rozsah :)

Foo Bar 06. prosinec 2012 15:39

Tak to mě mrzí, protože mi to dalo docela zabrat to zredukovat na 1500 znaků a zachovat alespoň trochu smyslu... tak třeba příště.

Ludmila Vinařová 01. únor 2013 03:38

Dovolte já se připojím : To je sranda == to musíte zvládnout i do 500♥

LV. TŘEBENICKO♥CZ

žena, matka dvou holčinek a momentálně bez práce a do týdne budu i bez auta = a to mne zlobí jen manžel = tak nevím proč se stále mstí, že jsem byla jen VÍCE AKTIVNÍ V OBCHODOOVÁNÍ V NAŠÍ VLASTNÍ FIRMĚ VYBUDOVANÉ OOD NULKY S FAXEM NA LEASIING A JE TO ZPĚT JIŽ 16LET a pak jsem mu jen přišla na obyčejnou NEVĚRU V NAŠEM MANŽELSKÉM VZTAHU ==== NYNÍ UŽ JEN PPAPÍROVÉM = UŽ SE I DOODSTĚHOVÁVÁ = TAKŽE PÍSAT BUDU A VŠUDE , DE MNE TOO ZAJJÍMÁ :-). ukončím podpis elektronický a snad ho i uložím a pak mizím zase o kus dál , tak případné otázky na elpo:ludmila.vinarova-infos@seznam.cz

S úctou ke každé práci kdo ji dělá minimálně 3- a více let na stejném místě , protože PPAK JSTE DOOKONALÝ A NASTANE JEN PROBLÉM , KDYŽ PŘEROOSTTETE VLASTNÍHO ŠÉFA = A KU MÉMU MÍNUSU = JIŽ OFIKO PROMTNĚ ŠŤASTNÉHO = ŽE MNE POLOŽÍ SNAD ZNOVU NA LOPATKY A JÁ DO TOMNE TAM ODVEZE A SÁM = PROTOŽE DOKTORKY I JÁ JSME OPROTI NĚMU V NAPROSTÉM POŘÁDKU::-)HO BOHNICKÉHO ÚSTAVU OOPRAVDU

Vít Hnilica 05. prosinec 2012 01:32

"Další problém spočívá v postupném zředění kontrol – k vydání podvodného certifikátu dnes stačí, abyste ovládli DNS cílové domény" a "DANE pak přidává do DNS nový záznam TLSA, který obsahuje otisk veřejného klíče certifikátu."
jako proti DANE nic nemam, spis naopak. ale operovat proti CA s tim ze utocnikovi staci "jen" ovladnout DNS a jako reseni je dat certifikat do te ovladnute DNS mi pride trosku smesne...

Foo Bar 06. prosinec 2012 13:23

Na DNS si musíte dát pozor tak jako tak. Celková bezpečnost se tím, že použijeme DNS nesníží, ale spíše zvýší. A to je cílem.

vit hnilica #11
vit hnilica 06. prosinec 2012 15:52

To je pravda, na to overeni certifikacni autoritou utocnik dns pozmeni jen na chvili. Zato kdyby tam mel mit svuj certifikat trvale, tak by si toho admin za naky cas snad vsiml. Bezpecnost se teda trosku zvysi. Jak to bylo mysleny jsem nepobral asi kvuli tomu scuknuti na 1500 znaku:D

Filip Oščádal #12
Filip Oščádal 06. prosinec 2012 18:48

DANE je o tom, že majitel domény by měl kontrolovat, přes který certifikát se připojíte, neměl by si to kontrolovat pouze uživatel, že "má zamčeno" - tj. nebude možné tak snadno podvrhnout např. StartSSL certifikát, pro jehož vytvoření stačí jen přístup k postmaster@ či webmaster@ e-mailu.

Ondřej Surý o tom dobře hovořil i na konferenci IT 12.

tuxmartin #5
tuxmartin 06. prosinec 2012 12:33

"Kromě této kontroly umí protokol DANE také legitimizovat tzv. self-signed certifikáty, což by mohlo pomoci rozšířit bezpečnost i do oblastí, kde by se z finančních důvodů komerční certifikát nevyplatil."

A proto se to zadne CA nebude libit.

Foo Bar 06. prosinec 2012 15:39

Nebude, ale jejich byznys zůstane u EV certifikátů, což je něco, kde certifikační autority mají a dávají smysl.

Filip Oščádal #13
Filip Oščádal 06. prosinec 2012 18:57

vystavení StartSSL certifikátu a jeho nasazení je otázkou cca 10 minut (když už máte nějakou praxi a klientský certifikát), takže není důvod, aby se to někomu nevyplatilo, jediný problém vidím s vazbou 1 IP / 1 certifikát (SNI není podporováno Androidu 2.* a starším IE)

amp #17
amp 23. leden 2013 07:57

Další problém se StartSSL certifikátem je, že není podporován na platformě WindowsPhone.

CloudFlare SSL #14
CloudFlare SSL 06. prosinec 2012 18:58

zajímalo by mne, co si myslí Ondřej o CloudFlare SSL Reverse CDN Proxy?

Foo Bar 07. prosinec 2012 10:24

Měl by být CloudFlare v něčem speciální?

Každá SSL proxy umožňuje provozovali té proxy vidět obsah spojení, a to jestli to provozovateli (a uživatelům) vadí nebo ne, a jak je to smluvně zajištěno je otázka pro tyto dvě strany, které se podílí na vytvoření zabezpečeného spojení.

Filip Oščádal #16
Filip Oščádal 27. prosinec 2012 12:44

spíš jsem myslel fakt, že CloudFlare šifruje spojení svým certifikátem, SSL certifikát serveru je použit pouze pro spojení s CloudFlarem

RSS 

Zprávičky

Vodafone by mohl přesunout centrálu z Londýna do zahraničí

ČTK , 30. červen 2016 13:00

Britský mobilní operátor Vodafone by mohl přesunout své ústředí z Londýna do zahraničí, bude to ale ...

Více 0 komentářů

Zákon zřejmě umožní elektronicky ověřit identitu občanů EU

ČTK , 30. červen 2016 10:00

Sněmovna schválila zákon, který umožní elektronicky ověřit identitu občanů EU například při přeshran...

Více 0 komentářů

Tiscali koupilo službu pro zasílání dat Úschovna.cz

ČTK , 29. červen 2016 14:00

Provozovatel webů Tiscali Media koupil službu pro zasílání objemných dat Úschovna.cz. Firma to dnes ...

Více 0 komentářů

Starší zprávičky

V zóně u Klášterce nad Ohří vznikne datové centrum

ČTK , 29. červen 2016 12:00

V průmyslové zóně Verne u Klášterce nad Ohří na Chomutovsku vznikne do konce roku 2017 datové centru...

Více 0 komentářů

Adastra loni zvýšila tržby o 13 procent na 2,3 miliardy

ČTK , 28. červen 2016 15:00

Původně česká konzultační a softwarová firma Adastra loni zvýšila tržby o 13 procent na 2,304 miliar...

Více 0 komentářů

Alza.cz očekává nárůst tržeb o čtvrtinu, zboží vydává i v noci

ČTK , 28. červen 2016 12:30

Největší tuzemský internetový obchod Alza.cz letos očekává nárůst tržeb meziročně zhruba o čtvrtinu,...

Více 0 komentářů

Intel prý zvažuje prodej divize kybernetické bezpečnosti

ČTK , 28. červen 2016 11:00

Americký výrobce čipů Intel zvažuje prodej aktivit v oblasti kybernetické bezpečnosti, jejichž součá...

Více 0 komentářů