| 0 |
|
Эксперты по безопасности Тревор Перрен (Trevor Perrin) и Мокси Мерлинспайк (Moxie Marlinspike) предложили расширение протокола Transport Layer Security (TLS), которое позволит веб-браузерам выявлять и блокировать поддельные SSL-сертификаты. Приложение TACK (от Trust Assertions for Certificate Keys), в котором реализован новый метод, уже представлено на рассмотрение сообщества IETF.
TACK пытается решить проблему доверия к открытым ключам, которая стала острой после нескольких инцидентов безопасности в центрах сертификации (CA) Comodo и Diginotar. В результате компрометации этих систем злоумышленники получили возможность создавать поддельные SSL-сертификаты, в том числе таких популярных доменов как google.com, hotmail.com, пр. В ноябре 2011 г. инженеры компании Google предложили HTTP-расширение под названием «public key pinning», которое позволило веб-сайтам через заголовок HTTP передавать браузеру достоверную информацию о SSL-сертификате доменного имени и центре, его выдавшем. Браузер запоминает данную информацию и не принимает SSL-сертификат другого центра. Для отдельных доменных имен в Google Chrome эта система реализована.
Новый метод TACK TLS для проверки подлинности SSL-сертификатов объединяет проверку открытого ключа с самоподписанным ключом. С его помощью владелец домена генерирует пару TACK-ключей: закрытый ключ используется для подписи открытого TLS-ключа сервера (он сейчас применяется браузерами для проверки подлинности SSL-сертификатов), а затем открытый TACK-ключ отправляется браузеру и используется для проверки подлинности TLS-ключа, подписанного с помощью TACK. В отдельных случаях браузер может привязать полученный открытый TACK-ключ к доменному имени. Таким образом, при попытке осуществить подмену SSL-сертификата для привязанного домена, система выявит несоответствие и подключение не будет авторизовано браузером.
Система TACK обратно совместима с клиентами и серверами, не поддерживающими ее — в таких ситуациях HTTPS-соединение обслуживается в соответствии с применяемыми ранее правилами проверки подлинности SSL-сертификатов. Это достаточно важно, поскольку разработчики не торопятся внедрять новые версии TLS. По данным проекта Trustworthy Internet Movement SSL Pulse project, из 200 тыс наиболее посещаемых HTTPS веб-сайтов, менее 2% поддерживают последние версии протокола, TLS 1.1 или 1.2. Подавляющее большинство ресурсов поддерживает только SSL 3.0 (предшествующий TLS) и TLS 1.0 (принятую еще в 1999 г.) Более 30% ресурсов до сих пор ограничивается поддержкой SSL 2.0, первой и наиболее небезопасной версии протокола.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
