Förtroendeöverträdelse för certifikatutfärdaren avslöjar sårbarheten i Internets förtroendeshierarkier

[ware_item id=33][/ware_item]

Förtroendeöverträdelse för certifikatutfärdaren avslöjar sårbarheten i Internets förtroendeshierarkier


I slutet av mars 2015 inträffade ett stort säkerhetsöverträdelse som involverade obehöriga digitala certifikat som följer Google. Denna incident har långtgående konsekvenser för hur vanliga människor bestämmer vem de ska lita på på Internet.

I det här inlägget försöker vi förklara varför det här betyder för slutanvändare som du.

Vad som hände i ett nötskal

Google upptäckte förfalskningar av hög kvalitet av SSL-certifikat för Google-domäner. Förfalskningarna var så bra att de kunde lura de flesta webbläsare, möjligen låta en angripare efterge sig Google och andra domäner, potentiellt till och med lura användare att avslöja sina lösenord. Lyckligtvis fanns förfalskningarna endast inom en stängd testmiljö.

Att utfärda sådana falska digitala certifikat - även i en testmiljö - är tänkt att vara nästan omöjligt, tack vare de rigorösa processer som finns för att verifiera certifikatinnehavarnas identitet. Det faktum att detta hände är därför en mycket stor sak, och det betyder att det kan hända igen, och att det antagligen har hänt tidigare för andra organisationer men gick obemärkt.

Google svarar genom att uppdatera sin Google Chrome-webbläsare så att den inte längre litar på den specifika certifikatutfärdaren (kallas CNNIC); det tar bort CNNICs rotcertifikat från sina produkter. Mozilla (skapare av Firefox) misstroar alla nya CNNIC-certifikat tills CNNIC har lyckats återansökan för att inkluderas i dess rotlager.

Refresher: Det här är vad som händer när du besöker en webbplats med ett giltigt SSL-certifikat

Det hjälper till att ha en hög nivå av förståelse för vad som händer när vi går till en webbplats med https och vår webbläsare visar oss en grön bock eller lås som säger att den här webbplatsen är säker.

  1. Du skriver https://www.google.com i din webbläsare.
  2. Din webbläsare har åtkomst till en offentlig katalog som heter DNS för att leta upp vilken IP-adress den ska använda för att kontakta google.com.
  3. Din webbläsare kontaktar servern på den IP-adress den mottog från DNS.
  4. Servern svarar med ett SSL-certifikat.
  5. Din webbläsare använder detta SSL-certifikat för att uppnå två mycket viktiga saker:
    1. Det bekräftar serverns identitet. I detta fall bekräftar det att servern verkligen drivs av Google; och
    2. Den sätter upp en krypterad kommunikationskanal så att data som skickas mellan webbläsaren och servern är krypterade. Den som lyssnar på nätverket kan se att du kommunicerar med Google, men inte kan se in i innehållet i din kommunikation.

Om SSL-certifikatet är giltigt kommer din webbläsare att visa det välkända gröna bockmärket eller låset på adressfältet.

Ahh, det gröna låset.Ahh, det gröna låset.

Men om en angripare lyckades lura min webbläsare att kontakta en falsk server kommer din webbläsare att märka att SSL-certifikatet är det ogiltig, och det visar dig en säkerhetsvarning.

Det här är vad som händer när SSL-certifikatet är en förfalskning av hög kvalitet (ledtråd: din webbläsare kommer inte att märka)

Det här är varför tillkännagivandet från Google är så viktigt: MCI Holdings lyckades skapa falska SSL-certifikat för Google som var så realistiska att det kunde lura de flesta webbläsare att tro att en webbplats på en falsk server faktiskt var Google. Detta borde helst aldrig hända. Men när det gör så är det så det ser ut:

  1. Du skriver https://www.google.com i din webbläsare.
  2. En angripare lurar din DNS-server för att ge dig fel IP-adress för google.com. De kan göra detta genom att utnyttja buggar i din hemrouter, andra routrar i nätverket, buggar i själva DNS-servern (vanligtvis drivs av din Internet-leverantör) eller olika andra sätt.
  3. Din webbläsare kontaktar den falska servern.
  4. Den falska servern svarar med ett falskt SSL-certifikat. Certifikatet är emellertid en hög kvalitetsfals att din webbläsare anser att det är giltigt.
  5. Din webbläsare visar det gröna bockmärket eller låset i adressfältet.
    1. När SSL-certifikatet är en högkvalitativ, odetekterbar förfalskning, tror du och din webbläsare att det faktiskt är GMail ...När SSL-certifikatet är en högkvalitativ, odetekterbar förfalskning, tror du och din webbläsare att det faktiskt är GMail ...
  6. Du skriver ditt Google-användarnamn och lösenord i en högkvalitativ klon av GMail och skickar därmed till angriparen, som nu får kontroll över alla dina Google-data inklusive din e-post, dokument, foton, kontakter och allt annat som är bundet till ditt Google-konto.

Hur bestämmer webbläsare huruvida ett SSL-certifikat är giltigt?

Varje operativsystem, smartphone och webbläsare kommer förinstallerad med en lista med några dussin företag eller regeringar vars digitala signaturer den automatiskt litar på, om inte annat konfigureras (mer om detta senare). Dessa betrodda företag kallas certifikatutfärdare eller CA och måste uppfylla detaljerade kriterier för att ingå i den listan.

Nyckelringar Access System RootsDu kan komma åt detta genom att gå till Spotlight > Nyckelringstillträde > Systemrötter.

Om en webbplats presenterar ett certifikat som är undertecknat av någon av dessa betrodda certifikatmyndigheter, kommer webbläsare att tolka det som "Jag ser signaturen för den här certifikatutfärdaren som jag är förkonfigurerad för att lita på. Den har signerat certifikatet för denna server. Det betyder att det har verifierat personerna bakom servern och bekräftat att de verkligen är de de påstår sig vara. Därför litar jag också på detta certifikat och visar den gröna bocken eller låset till min användare. "

Det hjälper till att tänka på certifikatmyndigheter som analoga med de centrala betrodda organen som utfärdar identitetshandlingar som pass. När du ansöker om pass måste du ta med handlingar som ditt födelsecertifikat, ditt körkort och ett fotografi, och du måste antagligen göra det personligen så att de kan verifiera att du är personen på ditt foto. När du reser använder du ditt pass som ditt identitetsdokument. Regeringar, hotell och flygbolag litar på att du är den person som ditt pass bekräftar att du är.

Du kan tänka på en certifikatutfärdare som är analog med ett pass som utfärdar ett pass, och du kan tänka på ett digitalt certifikat som ett slags pass, eller identitetsdokument, för en webbplats. Pass är (idealiskt) svåra att förfalska och har utgångsdatum. På samma sätt bör digitala certifikat (helst) vara svåra att förfalska, och de har också utgångsdatum. Efter utgångsdatumet blir pass och digitala certifikat ogiltiga.

Vi kan inte ta vem våra webbläsare och datorer litar på för givet

Du kanske känner till några av certifikatmyndigheterna som din dator automatiskt är förkonfigurerad för att lita på, som Symantec och GoDaddy. Men visste du att ditt operativsystem eller webbläsare antagligen innehåller rotcertifikat för långtgående organisationer som Hong Kong Post Office, en organisation från Nederländerna som heter Staat der Nederlanden Root CA och olika regeringar runt om i världen? (Om du är nyfiken, här är listan över organisationer som är betrodda av Firefox).

Risken är vad som händer när en av dessa certifikatmyndigheter signerar a smidda certifikat från en person som är eftertänksamt genom vårdslöshet (vilket är vad som verkar ha hänt med CNNIC / MCS Holdings / Google debacle), eller potentiellt till och med genom ondska.

Är det dags att ompröva vem vi litar på Internet?

Förtroende på Internet flödar övergående. Vi litar på utvecklarna av våra operativsystem och våra webbläsare; vi litar på företag som Google som hanterar våra data på Internet; och vi litar på flera certifikatmyndigheter för att noggrant verifiera identiteten på olika webbplatser och endast utfärda SSL-certifikat till deras legitima ägare.

Fallet med de förfalskade Google-certifikaten betonar vikten av att granska vilka certifikatmyndigheter vi verkligen behöver våra webbläsare att lita på. Beroende på vilka webbplatser du vanligtvis besöker, kan den uppsättning certifikatmyndigheter som du faktiskt litar på vara mycket mindre än den uppsättning som är förtroende på din dator.

Här är vad du kan göra åt detta:

  1. Överväg att inaktivera några av rotcertifikaten som kom förkonfigurerade på din dator. Om du till exempel inte bläddrar i webbplatser i Nederländerna är det förmodligen klokt att inaktivera den myndighet som heter "Nederländernas regering, PKIoverheid" som din webbläsare förmodligen är inställd på för närvarande. Vi föreslår också att du deaktiverar rotcertifikatet för CNNIC.
  2. Överväg att göra Chrome till din standardwebbläsare, eftersom Google har en meritlista över att vara vaksam och reagera snabbt på förtroendebrott.
  3. Följ projekt som Googles Certificate Transparency Project, som skapar en teknisk lösning för att märka förfalskade certifikat snabbare. Under de kommande månaderna och åren kommer sådana projekt att skapa plugins och förbättringar av webbläsare och operativsystem för att lösa några av dessa problem, men dessa lösningar är inte fullt tillgängliga idag.
  4. Kom ihåg att använda ett VPN under tiden. Det skyddar dig från några av de möjliga sätten på vilket en angripare kan försöka använda ett förfalskat SSL-certifikat på dig. Till exempel gör VPN det mycket svårare för en angripare att manipulera med dina DNS-resultat.

Vidare läsning:

Vad är certifikatutfärdare & Lita på hierarkier? | Globalsign
Googles Certificate Transparency Project

Förtroendeöverträdelse för certifikatutfärdaren avslöjar sårbarheten i Internets förtroendeshierarkier
admin Author
Sorry! The Author has not filled his profile.