`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

SSL: доверяй, но проверяй

+55
голосов

Нередко технологии, направленные вроде бы на обеспечение безопасности, но приспособленные для неспециалистов, воспринимаются как скорее внушающие ложное чуство защищенности. Недавно в таком контексте мы обсуждали UAC, однако определенные претензии можно предъявить даже SSL.

SSL-сертификаты и, соответственно, HTTPS давно стали неотъемлемой частью Интернета и пользователи будут сталкиваться с ними все чаще по мере распространения в Сети коммерческих услуг. Но все ли из нас различают типы таких сертификатов, их назначение и сферы применения. Хорошо, что современные браузеры хоть научились выявлять поддельные и сомнительные:

SSL доверяй, но проверяй

А есть ведь и вполне легитимные, но которые могут применяться совсем не к месту - как  случайно, так и умышленно:

SSL доверяй, но проверяй

В данном случае я говорю о так называемых domain-validated сертификатах, удостоверяющих исключительно сам домен, но никак не его владельца. Они выдаются вполне законно, дешевы (а в некоторых случаях и вовсе бесплатны) и обычно предназначаются лишь для обеспечения шифрования. При этом вся процедура проверки может состоять в обмене электронными письмами (т.е. запрашивающий должен иметь почтовый ящик в домене) или выкладывании определенного файла на веб-сервер (т.е. запрашивающий должен иметь к последнему доступ). Очевидно, что это открывает определенный простор для творчества различных злоумышлеников, в первую очередь промышляющих фишингом.

Проблема в том, что подавляющее большинство современных браузеров никак не реагируют на сертификаты, представленные на иллюстрации с желтым фоном. Хотя пользователь может сам доискаться до всей информации, вчитавшись в подробности, предоставленные браузером, очевидно, что мало кто станет это делать.

Однако, не сам же я нарисовал эту картинку? :) Таким образом на domain-validated сертификаты реагируют новый браузер Comodo Dragon, построенный на ядре Chromium. В остальном он, кажется, мало чем отличается от Google Chrome, однако разработчики специально уделили внимание таким вот специфическим моментам.

Дело в том, что Comodo, известная, кстати, неплохим бесплатным ПО для обеспечения безопасности, сама является эмитентом SSL-сертификатов, в том числе domain-validated (хотя больше всего их выпускает Go Daddy). Так что ее откровенная позиция заслуживает уважения.

Специалисты Comodo утверждают, что domain-validated сертификаты действительно нередко используются в фишинге, хотя согласно Netcraft лишь 0.3% всех поддельных и взломанных сайтов применяют HTTPS. Но даже в таком случае инициатива Comodo заслуживает похвалы и поддержки. По моему мнению, все более очевидной становится необходимость применения кардинально новых подходов к информационной безопасности, а каждая капля, как известно, камень точит.

+55
голосов

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT