目录:
作为消费者,我们被教导要信任浏览器地址栏上显示的挂锁图标。我们被告知这是一个迹象,我们与网站的沟通是安全的。但本周涉及谷歌和一家土耳其安全公司的事件掩盖了这一想法。
该公司TurkTrust本周透露,2011年8月,它意外向两个“实体”颁发了两把主钥匙。主密钥称为中间证书,允许实体为互联网上的任何域创建数字证书。
数字证书实际上是用于验证网站的加密密钥,它就是它所说的。例如,您银行的证书会向您的浏览器验证您在进行网上银行业务时是否实际与您的银行通话。
[详细阅读:如何从Windows PC删除恶意软件]使用证书加密你和网站之间的信息。这就是浏览器地址栏上的绿色挂锁。浏览器正在使用安全套接字层与网站进行通信,验证其真实性。
具有伪造证书的互联网犯罪分子可以拦截您与受信任网站之间的通信,这可能会欺骗您的浏览器,使其相信它正在与受信任的网站进行通信并劫持你的沟通。这就是所谓的“中间人攻击”,因为小偷坐在你和受信任的站点之间。
修正了错误,问题仍然存在
TurkTust的错误是Google在圣诞节前夜通过其Chrome浏览器中的功能发现的当有人试图使用未经授权的证书使用该平台时,该平台会向Google发出红旗。
在发现证书问题后,Google通知TurkTrust的情况以及Microsoft和Mozilla,他们都修改了浏览器平台阻止使用中间证书颁发机构创建的流氓证书
此证书snafu只是现有颁发数字证书系统需要修补的最新标志。例如,2011年3月,一家附属于证书颁发机构Comodo的公司被违反,并颁发了9份伪造证书。
今年晚些时候,黑客攻破了荷兰证书颁发机构DigiNotar,并颁发了数十个伪造证书,其中包括谷歌。这一事件的后果使该公司无法正常工作。
通缉:下一代安全
为解决证书安全问题而提出了一些建议。
存在融合。它允许浏览器从用户选择的源获得关于证书的第二意见。 “这是一个明智的想法,但只要你进入公司网络,并且你在代理商后面或者在网络翻译的后面,它就会崩溃,”Sophos的安全顾问Chet Wisniewski在接受采访时说。 >有DNSSEC。它使用域命名解析系统 - 将网站的常用名称变为数字的系统 - 以在用户和网站之间创建可信链接。该系统不仅不易理解,而且实施可能需要数年的时间。“ ”Wisniewski说:“DNSSEC的问题在于,它需要实施新技术和基础设施的协调升级,才能利用它。 “到目前为止我们已经看到的采用率意味着我们将不会有十年或十五年的解决方案,这还不够好。”
还提出了两种“固定”技术 - 公钥密码技术扩展HTTP和证书密钥的可信声明(TACK),它们是相似的。
它们允许网站修改HTTP标头以标识其信任的证书颁发机构。如果浏览器收到由网站信任的证书颁发机构签发的证书,则它将存储该信息并仅建立与网站的连接
根据Wisniewski的说法,固定建议最有可能被用来治愈证书问题。 “他们可以在短期内被采纳,”他说。 “他们允许那些想要利用高级安全功能的人马上这样做,但它不会破坏任何未更新的现有网络浏览器。”无论计划浏览器制造商采用哪种方案来解决证书问题,他们都需要尽快做。否则,snafus将继续激增,互联网上的信任可能会受到无法挽回的损害。