Исследователи создали TLS расширение, обнаруживающие поддельные SSL-сертификаты
🕛 26.05.2012, 10:08
Для проверки подлинности SSL-сертификатов расширение TACK TLS совмещает проверку открытого ключа с самоподписанным ключом. Исследователи безопасности Тревор Перрен (Trevor Perrin) и Мокси Мерлинспайк (Moxie Marlinspike) разработали протокол Transport Layer Security (TLS), который позволит web-обозревателям определять и блокировать поддельные SSL-сертификаты.
Новый метод выявления мошенничества был реализован в приложении TACK (Trust Assertions for Certificate Keys), которое в настоящий момент представлено на рассмотрение Инженерного совета Интернета (Internet Engineering Task Force, IETF). IETF - это международное сообщество, которое занимается развитием протоколов и архитектуры Интернета.
С помощью TACK владелец домена может сгенерировать пару закрытого и открытого ключей, называемых TACK-ключами. Закрытый ключ используется для подписи открытого TLS-ключа сервера, который в настоящее время используется браузерами для проверки подлинности SSL-сертификатов. Затем открытый TACK-ключ отправляется браузеру и используется для проверки подлинности, подписанного с помощью TACK, TLS-ключа.
В некоторых исключительных случаях браузер может привязать открытый TACK-ключ, полученный от сервера, к доменному имени. Если атакующий попытается осуществить подмену SSL-сертификата для привязанного домена, проверка подлинности сертификата завершится неудачей и браузер не авторизует это подключение.
Как пояснили исследователи, TACK – это попытка решить проблему доверия, связанную с инфраструктурой открытых ключей. По их словам, ненадежность SSL-сертификатов стала очевидной в прошлом году после нескольких инцидентов безопасности в центрах сертификации Comodo и Diginotar.
Напомним, что после обоих случаев компрометации компаний злоумышленники получили возможность создавать поддельные SSL-сертификаты таких популярных доменов как google.com, hotmail.com или mail.yahoo.com. Более того, в случае с Diginotar поддельные сертификаты активно использовались для проведения атак на иранских пользователей Google.
Перрен и Мерлинспайк также отметили, что в современных условиях распространения новых технологий сложно предугадать насколько популярным станет TACK даже несмотря на возможное одобрение со стороны IETF.