Надійність SSL сертифікатів
22:42 30.08.2011Тривалий час секюріті спільнота наголошує на безпеці SSL сертифікатів і необхідності їх використовувати для покращення безпеки сайтів. Зокрема їх використання допоможе проти MITM атак.
Для покращення самих SSL сертифікатів та процесу взаємодії браузерів з сайтами по HTTPS створються нові стандарти. Такі як EV SSL та HSTS. По задумці авторів все це повинно підвищити рівень захищенності сайтів з такими сертифікатами. І якщо не мати інших дірок на сайтах, то користь від цього буде, але я вже розповідав про справжню безпеку сайтів із секюріті логотипами, що діряві сайти полюбляють ховатися за секюріті логотипами (в тому числі SSL логотими, і помилково гадають і переконують відвідувачів, що SSL захистить їх від власник дірок).
При цьому все більше з’являється компаній, що видають SSL сертифікати (і заробляють на цьому). І при цьому нерідко ці компанії не слідкують за безпекою, що призводить до витоків сертифікатів відомих сайтів, які потрапляють в руки зловмисникам і можуть використовуватися при фішинг атаках і MITM атаках.
В березні така ситуація сталася з Comodo, коли вони “помилково” видали зловмисникам сертифікати відомих сайтів, в тому числі сайтів Гугла (www.google.com і mail.google.com). А 27 серпня така ситуація сталася з DigiNotar, виданий якою сертифікат gmail.com витік у вільний доступ.
Підозрюють, що за останнім випадком стоять уряди деяких держав (зокрема Ірану), що хочуть використати даний сертифікат для аналізу SSL-трафіку жителів власних країн. Так що при таких витоках SSL сертифікатів, їх надійність вже не виглядає дуже високою.
