Представлена централизованная база для проверки подлинности SSL-сертификатов

5 ноября 2012 года

Wikinews-logo-ru.svg

Исследователи безопасности из университета Беркли объявили о создании некоммерческого сообщества ICSI Certificate Notary, которое будет поддерживать единую базу с информацией о валидности SSL-сертификатов. Созданный сервис проверки сертификатов является попыткой решения ключевой архитектурной проблемы процесса сертификации - при компрометации одного из сотен центров сертификации, рушится вся цепочка доверия (злоумышленники могут сгенерировать сертификат для любого сайта, который будет воспринят всей системой как корректный). ICSI Certificate Notary позволяет выявлять такие обманные сертификаты на ранней стадии их появления.

На основе проведённой в течение года автоматизированной проверки, охватившей статистику по примерно 7.6 миллиардов SSL-соединений от 220 тысяч пользователей, собраны данные об около 500 тысячах сертификатов, используемых web-сайтами в сети. Данные накоплены с использованием нескольких независимых партнёрских систем, работающих в разных частях света. Информация обновляется в непрерывном цикле, что позволяет оперативно отследить факты компрометации сертификатов. Таким образом, используя ICSI Certificate Notary любой пользователь может убедиться, что сертификат, задействованный для создания SSL-соединения с заданным сайтом, выдан данному сайту, а не внедрён клиенту злоумышленниками для организации перехвата трафика.

Доступ к сервису организован в форме DNSBL. Проверка репутации сертификата осуществляется через отправку DNS-запроса в форме "хэш.notary.icsi.berkeley.edu", где хэш - SHA1-хэш от сертификата, валидность которого требуется проверить. В ответ будет возвращена TXT-запись с информацией о валидности сертификата, а также времени первой и последней проверки (например, "version=1 first_seen=15387 last_seen=15646 times_seen=260 validated=1"). Проверка сертификатов организована с задействованием поддерживаемого проектом Mozilla хранилища данных о корневых сертификатах. Интересно, что серверная часть организована с использованием оптимизированного для отдачи DNSBL зон DNS-сервера rbldnsd, созданного нашим соотечественником Михаилом Токаревым.

ИсточникиПравить


Эта статья содержит материалы из статьи «Представлена централизованная база для проверки подлинности SSL-сертификатов», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.