+11 голос |
В целях обеспечения защиты современные веб-сайты шифруют свои коммуникации, используя для этого сертификаты. В случае взлома сайта его сертификат должен быть аннулирован.
Сегодня, на конференции Internet Measurement Conference (ACM IMC) будет представлена работа, в которой впервые выполнен комплексный анализ экосистемы аннулирования таких сертификатов, включающей администраторов сайтов, которые получают и аннулируют сертификаты, сертифицирующие организации, которые публикуют список недействительных сертификатов, и браузеры, которые сверяются с этим списком каждый раз при аутентификации веб-ресурса.
Исследование показало, что администраторы веб-сайтов применяют множество отмененных сертификатов, для распространения информации об аннулированных сертификатах соответствующие организации используют устаревшие процессы, а веб-браузеры не проверяют должным образом актуальность сертификатов.
Проанализированные учёными многолетние результаты полного сканирования Интернета свидетельствуют, что 8% из используемых сертификатов являются недействительными. Далее было установлено, что многие сертифицирующие организации не внедряют новейшую технологию распространения информации об отмененных сертификатах. Рассылаемые сейчас CRL-файлы имеют слишком большие размеры, что побуждает разработчиков браузеров пренебрегать ими для увеличения быстродействия своих программ.
В заключение, были исследованы три десятка комбинаций операционных систем и браузеров, включая Chrome, Safari, Firefox и Internet Explorer. Ни одна из них не проверяла должным образом актуальность сертификатов. Та же проблема присутствовала в мобильных браузерах для платформ iOS и Android.
«Найденное нами рисует безрадостную картину, поскольку пользователи искренне верят, что браузеры и сайты делают все необходимое для обеспечения их безопасности», — комментирует соавтор работы, Дэйв Левин (Dave Levin) из Института продвинутых компьютерных исследований Университета Мэриленда.
В своей предыдущей работе, посвящённой опасной вредоносной программе Heartbleed, Левин показал, что из взломанных ею веб-сайтов лишь малый процент обновляет свои сертификаты. В этот раз он продвинулся дальше в исследованиях эффективности системы Public Key Infrastructure (PKI) и пришёл к столь же неутешительным выводам.
Согласно заключению Левина и его соавторов из университетов Мэриленда, Стэнфорда, Дюка и Северозападного, а также компании Akamai Technologies, для успешного функционирования системы аннулирования в целом требуется кардинально улучшить работу всех без исключения её участников.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |