Certifikatcirkus

Interaktiv version

Stoler du på alle disse firmaer?

Kender du dem overhovedet?

De kan alle lave SSL-certifikater der godkendes af de fleste browsere og operativsystemer, til vilkårlige domæner—alt lige fra google.com til nordea.dk—og flere af dem giver magten videre til andre, villigt eller uvilligt.

Det interaktive netværk/"Trust Tree" kommer fra International Computer Science Institute (ICSI) ved University of California, Berkeley, der over 10 måneder har kigget på SSL handshakes fra brugere på en række .edu-netværk. Det viser de CAs, der blev set mest, samt hvem de gav evnen til at signere certifikater videre til.

Bernhard Amann fra ICSI skriver at den CA der alene havde signeret flest certifikater—over 74,000—var en af GoDaddy's intermediaries, "Go Daddy Secure Certification Authority". (Visse andre som eksempelvis Comodo er også gigantiske, men de signerer certifikater via en række intermediaries.) Han tilføjer også at "DFN-Verein PCA Global" (der udgør det store netværk til højre) ikke er helt så farlige som de ser ud, da de laver individuelle intermediary CAs til forskellige universiteter i Tyskland, men beholder og beskytter dem alle.

Er det på tide at skifte PKI ud? Hvad er alternativet—Convergence? Hvordan får man ikke-nørder til at bruge det?

Læs/se mere: The ICSI Certificate Notary / SSL And the Future Of Authenticity

Patrick Mylund Nielsens billede
Patrick er en del af Kaspersky Lab's Global Research and Analysis Team sammen med forskerne der fandt blandet andet opdagede Stuxnet, Duqu og Flame. Han har arbejdet med softwareudvikling, optimering og sikkerhedstesting og specialiserer sig i dag i applikations- og netværkssikkerhed, kryptologi, fysisk sikkerhed og social engineering. Han blogger om alle disse emner.

Kommentarer (5)

Dennis Glindhart

Jeg har for nyligt skrevet Bachelor-projekt netop med udgangspunkt i dette problem.

Det bestod basalt set af indledende overvejelser om brug af DNSSEC som Secure Entry Point for validering/distribuering af certifikater. Det fungerer selvfølgelig under den antagelse af at man kender det korrekte domæne for et givent firma/endpoint.
Whois opslag burde så mere eller mindre kunne lave denne validering, afhængig af hostmasterens validering ved domæne-registrering.

Efterhånden som DNSSEC bliver rullet ud burde dette langsomt kunne blive et alternativ. Der er nogle mere eller mindre væsentlige problemer i forhold til NAT med domæne -> server mappingen helst skal være mere eller mindre unik. IPv6 afhjælper dog dette.

Projektet var i praksis mest fokuseret på at benytte dette til initialisering af IPSec forbindelser, men teorien burde kunne overføres til SSL/TLS.

Peter Makholm

Det bestod basalt set af indledende overvejelser om brug af DNSSEC som Secure Entry Point for validering/distribuering af certifikater.

SSL-certificater i DNSSEC hedder DANE (DNS-Based Authentication of Named Entities). Jeg er sikker på at jeg har blogget om det på et eller andet tidspunkt.

Det giver ikke samme sikkerhed som EV-certifikater, men som erstatning for domæne-validerede certificater vil det være fint (og efter min mening et skridt i en mere sikker retning).

Det virker i Chrome og der findes vist extensions til Firefox der implementerer det. For et eksempel se https://dnssec.imperialviolet.org/

Log ind eller opret en konto for at skrive kommentarer

IT Businesses