Certifikatcirkus
Stoler du på alle disse firmaer?
Kender du dem overhovedet?
De kan alle lave SSL-certifikater der godkendes af de fleste browsere og operativsystemer, til vilkårlige domæner—alt lige fra google.com til nordea.dk—og flere af dem giver magten videre til andre, villigt eller uvilligt.
Det interaktive netværk/"Trust Tree" kommer fra International Computer Science Institute (ICSI) ved University of California, Berkeley, der over 10 måneder har kigget på SSL handshakes fra brugere på en række .edu-netværk. Det viser de CAs, der blev set mest, samt hvem de gav evnen til at signere certifikater videre til.
Bernhard Amann fra ICSI skriver at den CA der alene havde signeret flest certifikater—over 74,000—var en af GoDaddy's intermediaries, "Go Daddy Secure Certification Authority". (Visse andre som eksempelvis Comodo er også gigantiske, men de signerer certifikater via en række intermediaries.) Han tilføjer også at "DFN-Verein PCA Global" (der udgør det store netværk til højre) ikke er helt så farlige som de ser ud, da de laver individuelle intermediary CAs til forskellige universiteter i Tyskland, men beholder og beskytter dem alle.
Er det på tide at skifte PKI ud? Hvad er alternativet—Convergence? Hvordan får man ikke-nørder til at bruge det?
Læs/se mere: The ICSI Certificate Notary / SSL And the Future Of Authenticity
Om Patrick Mylund NielsenPatrick er sikkerhedschef ved Evidon, Inc. i New York, har arbejdet med softwareudvikling, optimering og sikkerhedstesting, men specialiserer sig i dag i app- og netværkssikkerhed, kryptologi, fysisk sikkerhed og social engineering. Patrick blogger om programmering og it-sikkerhed
Follow @pmylundKommentarer (5)
Jeg har for nyligt skrevet Bachelor-projekt netop med udgangspunkt i dette problem.
Det bestod basalt set af indledende overvejelser om brug af DNSSEC som Secure Entry Point for validering/distribuering af certifikater. Det fungerer selvfølgelig under den antagelse af at man kender det korrekte domæne for et givent firma/endpoint.
Whois opslag burde så mere eller mindre kunne lave denne validering, afhængig af hostmasterens validering ved domæne-registrering.
Efterhånden som DNSSEC bliver rullet ud burde dette langsomt kunne blive et alternativ. Der er nogle mere eller mindre væsentlige problemer i forhold til NAT med domæne -> server mappingen helst skal være mere eller mindre unik. IPv6 afhjælper dog dette.
Projektet var i praksis mest fokuseret på at benytte dette til initialisering af IPSec forbindelser, men teorien burde kunne overføres til SSL/TLS.
-
1 -
1
Jeg ser det som et stort problem at Convergence ikke understøtter EV SSL certifikater.
“Convergence does not enable EV for self-signed certs. It is concerned with authenticity, not identity”.
Det gør det da ekstremt sårbart for Phishers.
-
0
-
1
Denne video i syv dele fortæller ret godt om problemerne ved x509 standarden:
http://www.youtube.com/watch?v=AG8XZto7APo
-
2
-
0
Det bestod basalt set af indledende overvejelser om brug af DNSSEC som Secure Entry Point for validering/distribuering af certifikater.
SSL-certificater i DNSSEC hedder DANE (DNS-Based Authentication of Named Entities). Jeg er sikker på at jeg har blogget om det på et eller andet tidspunkt.
Det giver ikke samme sikkerhed som EV-certifikater, men som erstatning for domæne-validerede certificater vil det være fint (og efter min mening et skridt i en mere sikker retning).
Det virker i Chrome og der findes vist extensions til Firefox der implementerer det. For et eksempel se https://dnssec.imperialviolet.org/
-
2
-
0
...på et bedre system, kan man f.eks. installere Certificate Patrol - den råber op når sites skifter SSL certifikater. Det giver en masse støj på sites som f.eks. facebook, til gengæld støjer den (heldigvis :)) ikke på min netbank.
-
1
-
0
Tilføj kommentar
