Підробні SSL-сертифікати Google та CA

Виявлене нещодавно реальне використання підробних сертифікатів Google демонструє фатальну слабкість інфраструктури центрів сертифікації. Один з іранських користувачів Google виявив, що сертифікат, який надсилався до його браузера при встановленні безпечного (SSL) під'єднання до сервісів Google, є підробним. Таким чином, вся інформація, що передавалася, кимось перехоплювалась, найбільш імовірно, ISP-провайдером або спецслужбами. Подальше розслідування показало, що підробний сертифікат використовувався протягом двох місяців, і це залишалося непоміченим.

Більше двохсот підробних сертифікатів було згенеровано в результаті проникнення хакерів до серверів центру сертифікації голландської компанії DigiNotar. Крім Google, було підроблено сертифікати сайтів Mozilla, Yahoo та Tor. Передбачається, що підробні сертифікати повинні бути відізвані, але, по-перше, не всі користувачі зможуть правильно зреагувати на цю ситуацію, по-друге, невідомо, чи є інформація від DigiNotar повною. Так, DigiNotar, визнаючи провину за витік підробних сертифікатів, спочатку не обмовилася, що серед потерпілих сайтів був також і Google, і визнала це тільки після того, як на це вказали користувачі. Взагалі DigiNotar не змогла назвати всі підроблені сертифікати; було б дуже дивно, якби вони не реєструвалися, втім, досить імовірним є те, що зловмисники знищили цю інформацію.

Здавалося б, все ясно: DigiNotar не можна вважати за надійного поставника сертифікатів — цілком можливо, що мали місце й інші зломи, що пройшли непоміченими. Тому потрібно відкликати всі сертифікати, ланцюжок яких веде до кореневого сертифікату, підписаного цією фірмою (відповідні оновлення вже випустили і Mozilla, і Chrome, і Microsoft). Але не все так просто. Цей випадок показав, що підробні сертифікати можуть діяти протягом тижнів та місяців і це пройде непоміченим. При цьому компанія DigiNotar не є якоюсь фірмою-одноденкою — серед її клієнтів голландський уряд. Можна згадати, що кілька місяців тому подібна ситуація склалася із центром сертифікації Comodo.

Що ж робити? Пересічний користувач, який не дуже переймається безпекою, мабуть, подумає, що до нього все це не має стосунку — іранські спецслужби навряд чи будуть ним цікавитись, ніякої надсекретної інформації він не передає, а використання підробних сертифікатів для перехоплення інформації (man-in-the-middle) потребує доступу до інфраструктури, недосяжної для простого зловмисника. Втім, наразі є дві галузі, які стосуються майже кожного: онлайнова купівля — бо ж вміст власного гаманця цікавить усіх, та безпровідні з'єднання — що їх перехоплення є порівняно простим.

Отже, тим, хто таки переймається безпекою, можна порекомендувати видалити у браузері із списку довірених сертифікат DigiNotar (вручну або ж встановивши оновлення до браузера) і якщо й приймати сертифікати, видані цією фірмою, то окремим порядком.

Cервісами Google краще користуватися через Chrome, у сучасні версії якого вбудовано цифрові відбитки (fingerprints) сервісів Google — це дає змогу не покладатися на CA.

Для Mozilla фонд EFF пропонує доповнення Perspectives та Convergence, які дозволяють відслідковувати валідність сертифікатів за іншою схемою, на кшталт мережі довіри (як у PGP) — надійність має забезпечуватись тим, що сертифікати перевіряються на кількох незалежних серверах.

додати коментар: