Google-turvallisuustodistukset taotut
äskettäin Google totesi, että todistusviranomainen (CA) antoi Google-verkkotunnuksille väärennettyjä todistuksia. Tämä kompromissi riippuu toimittaa toimittaa kerrosten turvallisuus (TLS) sekä turvallinen HTTP (HTTPS), joka mahdollistaa väärennettyjen todistusten haltijan tekemään miehen keskipisteen hyökkäys.
Voit vahvistaa, että verkkosivusto, jonka olet tarkistanut, on todella kuka he vakuutusvaatimukset ovat, selaimesi varmistaa, että palvelimen toimittama sertifikaatti allekirjoitti luotettava CA. Kun joku pyytää varmennetta CA: sta, heidän on vahvistettava pyynnön muodostavan henkilön henkilöllisyys. Selaimesi sekä käyttöjärjestelmällä on joukko lopulta luotettavaa CAS: tä (nimeltään ROOT CAS). Jos sertifikaatti on antanut yhdestä niistä tai niistä luottaa siihen, että ne luottavat yhteydestä. Tämä koko riippuvainen rakenne on nimeltään luottamus ketju.
Forged-sertifikaatin avulla voit vakuuttaa asiakkaalle, että palvelin on todella . Voit hyödyntää tätä istua asiakkaan yhteyden ja todellisen Google-palvelimen välillä, salakuuntelussa heidän istunnonsa.
Tässä tapauksessa välivaiheen CA teki juuri sen. Tämä on pelottavaa, koska se heikentää turvallisuutta, jonka me kaikki olemme riippuvaisia päivittäin kaikista turvallisista internetistä. Sertifikaatti Pinning on yksi työkalu, jota voidaan käyttää kestämään tämäntyyppisen hyökkäyksen. Se toimii yhdistämällä tietty todistus. Jos se muuttuu, yhteys ei luotettava.
TLS: n keskitetty luonne ei toimi, jos et voi riippua viranomaisista. Valitettavasti emme voi.