The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Представлена централизованная база для проверки подлинности SSL-сертификатов

05.11.2012 14:41

Исследователи безопасности из университета Беркли объявили о создании некоммерческого сообщества ICSI Certificate Notary, которое будет поддерживать единую базу с информацией о валидности SSL-сертификатов. Созданный сервис проверки сертификатов является попыткой решения ключевой архитектурной проблемы процесса сертификации - при компрометации одного из сотен центров сертификации, рушится вся цепочка доверия (злоумышленники могут сгенерировать сертификат для любого сайта, который будет воспринят всей системой как корректный). ICSI Certificate Notary позволяет выявлять такие обманные сертификаты на ранней стадии их появления.

На основе проведённой в течение года автоматизированной проверки, охватившей статистику по примерно 7.6 миллиардов SSL-соединений от 220 тысяч пользователей, собраны данные об около 500 тысячах сертификатов, используемых web-сайтами в сети. Данные накоплены с использованием нескольких независимых партнёрских систем, работающих в разных частях света. Информация обновляется в непрерывном цикле, что позволяет оперативно отследить факты компрометации сертификатов. Таким образом, используя ICSI Certificate Notary любой пользователь может убедиться, что сертификат, задействованный для создания SSL-соединения с заданным сайтом, выдан данному сайту, а не внедрён клиенту злоумышленниками для организации перехвата трафика.

Доступ к сервису организован в форме DNSBL. Проверка репутации сертификата осуществляется через отправку DNS-запроса в форме "хэш.notary.icsi.berkeley.edu", где хэш - SHA1-хэш от сертификата, валидность которого требуется проверить. В ответ будет возвращена TXT-запись с информацией о валидности сертификата, а также времени первой и последней проверки (например, "version=1 first_seen=15387 last_seen=15646 times_seen=260 validated=1"). Проверка сертификатов организована с задействованием поддерживаемого проектом Mozilla хранилища данных о корневых сертификатах. Интересно, что серверная часть организована с использованием оптимизированного для отдачи DNSBL зон DNS-сервера rbldnsd, созданного нашим соотечественником Михаилом Токаревым.

  1. Главная ссылка к новости (http://lists.randombit.net/pip...)
  2. OpenNews: Инициатива по привлечению пользователей к повышению качества поддержки HTTPS
  3. OpenNews: Исследование состояния SSL-сертификатов в сети
  4. OpenNews: GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации
  5. OpenNews: Представлен первый успешный способ атаки на SSL/TLS
  6. OpenNews: Представлено TACK, расширение SSL/TLS для борьбы с MITM-атаками и поддельными сертификатами
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: ssl, cert, validate
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 15:25, 05/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Проверил - не работает
     
     
  • 2.6, a (??), 16:36, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Доброго времени!
    Kernel.org
    7358708B1BB672D6B0C02B0A1F2CB81105700A99
    $ dig +short 7358708B1BB672D6B0C02B0A1F2CB81105700A99.notary.icsi.berkeley.edu
    возвращает 127.0.0.2, «валидный»
     

  • 1.3, Аноним (-), 15:47, 05/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Что мешает взломать и эту базу, подделав _все_ сертификаты?
     
     
  • 2.5, Алексей (??), 16:24, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Эта штука не генерирует сертификатов
     
     
  • 3.7, Аноним (-), 16:45, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Сгенерировать левый сертификат, взломать берклийцев, заставить их днс рапортовать о валидности хэша левого сертификата?
     
     
  • 4.17, Crazy Alex (ok), 21:22, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так это +1 взлом
     
  • 3.8, filosofem (ok), 16:45, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    поэтому взламывать её не честно?
     

  • 1.4, sirGrey (?), 15:59, 05/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Единая точка отказа!

    Нужно что то вроде Spoof Proof DHT.
    Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.

    Есть у EFF толковые математики?

     
     
  • 2.9, Anonymous1 (?), 16:51, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Любой единый (нераспределенный) центр проверки валидности является единой точкой отказа. Вопрос: какое время Вы можете обходиться без проверки валидности сертификатов, если Вы кешируете результаты (предыдущих) проверок?
     
     
  • 3.10, тоже Аноним (ok), 17:14, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ответ: такое же, как сейчас, когда такой точки нет.
    Правильно?
     
  • 2.12, Акакий Зильбиршейн_ (?), 17:26, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Единая точка отказа!
    > Нужно что то вроде Spoof Proof DHT.
    > Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.
    > Есть у EFF толковые математики?

    а у тебя есть мозги? ты че думаешь никому в голову идея о одно т.о. в голову не пришла? и как будешь колбасить распределённом вариант? распределённым досом же? а пиписька не сломается?

     
  • 2.26, Аноним (-), 23:15, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.

    Что-то в торрентах и осле копирасы так и не осилили завалить DHT. Хотя пытались хорошо, но пересилить несолько миллионов юзвергов у них ни разу не вышло. Эффекта было около нуля. Хотя фэйковых нодов плодили оптом.

     

  • 1.13, arisu (ok), 17:45, 05/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > централизованная база

    дальше не читал: defective by design.

     
     
  • 2.19, Crazy Alex (ok), 21:24, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну костыль. Зато реализуемый сейчас...
     
     
  • 3.23, Аноним (-), 22:53, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот была охота отчитываться каким-то будакам из беркелея о всех посещенных SSL сайтах.
     
  • 2.20, Аноним (-), 21:42, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > defective by design

    отчего же, можно отправить на орбиту "Оплот чести -1", с начинкой от группы "Честь как аномалия", залить зоны и хэши, выкинуть модули удаленного управления в потоки солнечной радиации, обеспечить каждому неверующему возможность слетать и проверить на месте сопровождаемому телевизионной группой канала "Правда" в составе  андроидов с открытой прошивкой, на земле принимать схемами, набранными только советскими микросхемами. только не говорите, что это нереально, не расстраивайте..

     
     
  • 3.47, m32 (?), 11:44, 07/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Весьма неплохо звучит.
     
  • 2.22, XoRe (ok), 22:01, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> централизованная база
    > дальше не читал: defective by design.

    А вы попробуйте сломать этот design.

     
     
  • 3.24, Аноним (-), 22:55, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А вы попробуйте сломать этот design.

    Его и ломать не надо: для начала меня совершенно не устраивает что какие-то левые перцы в курсе когда и куда я ходил. Чего ради какой-то левый беркелей будет вообще знать о том когда я заходил в онлайн банкинг??? Уху ели?!

     
     
  • 4.34, XoRe (ok), 11:22, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> А вы попробуйте сломать этот design.
    > Его и ломать не надо: для начала меня совершенно не устраивает что
    > какие-то левые перцы в курсе когда и куда я ходил.

    А где написано, что ваши данные сливаются?

     
     
  • 5.35, Аноним (-), 11:46, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А где написано, что ваши данные сливаются?

    Простите, чтобы посмотреть базу мне надо сделать запрос в этот днсник. По оному запросу какие-то совершенно посторонние граждане как минимум видят факт посещения SSLного сайта в энный период времени. По факту я это классифицирую как built-in спайваре.

     
     
  • 6.39, Антоним (?), 13:14, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Спокуха — тот кто может подсунуть тебе фейковый сертификат так же сможет положить в кеш локального сервера DNS и фейковую запись об его валидности, так что никто ничего не узнает — запрос далеко не уйдёт. ;-)
     
     
  • 7.44, Аноним (-), 17:51, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > валидности, так что никто ничего не узнает — запрос далеко не уйдёт. ;-)

    Картонный щит + спайваре в комплекте...

     
  • 4.42, nagual (ok), 14:17, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> А вы попробуйте сломать этот design.
    > Его и ломать не надо: для начала меня совершенно не устраивает что
    > какие-то левые перцы в курсе когда и куда я ходил. Чего
    > ради какой-то левый беркелей будет вообще знать о том когда я
    > заходил в онлайн банкинг??? Уху ели?!

    А ведь и правда ...
    Скорее всего ребята хотят срубить бабла ...

     
  • 4.46, qux (ok), 20:13, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А, например, OCSP, который Online Certificate Status Protocol и в фоксе по дефолту включен, вас не смущает?
     
  • 3.27, arisu (ok), 02:43, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>> централизованная база
    >> дальше не читал: defective by design.
    > А вы попробуйте сломать этот design.

    ты не понимаешь, почему централизованые вещи в данном случае таки сломаны уже сразу? зачем доламывать то, что изначально косое? O_O

     
     
  • 4.31, thelamon (ok), 09:48, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> централизованная база
    >>> дальше не читал: defective by design.
    >> А вы попробуйте сломать этот design.
    > ты не понимаешь, почему централизованые вещи в данном случае таки сломаны уже
    > сразу? зачем доламывать то, что изначально косое? O_O

    DNS defective by design и сломан уже сразу?О_О

     
     
  • 5.32, filosofem (ok), 10:31, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > DNS defective by design и сломан уже сразу?О_О

    Гы. 3 раза.

     
  • 5.36, Аноним (-), 11:49, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > DNS defective by design и сломан уже сразу?О_О

    Насквозь грабельный протокол с кучей проблем. Мало того что его просто хакали кучу раз, так еще и США уже отличились несколько раз, вывесив "Seized" на нескольких доменах без суда и следствия, просто отхапав домены по принципу "у кого в стране ICANN, тот и прав". Да и рунетчики помнится рутрекер разделегировали по желанию левой пятки.

    В общем такая надежная и неубиваемая система, совсем не defective.

     
  • 5.38, ваноним (?), 12:07, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    DNS - defective by design. DNS может быть распределенной
     
  • 2.40, Аноним (-), 13:17, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо блоху подковать.
     
     
  • 3.43, arisu (ok), 17:21, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо
    > блоху подковать.

    да, судя по новости — конкретно эту вещь делали конкретные дураки. а со своими комплексами «там они все умные, а я дурак» попробуй к врачу сходить, что ли. хотя, может, ты просто правду о себе думаешь…

     
  • 3.45, Аноним (-), 17:59, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо блоху подковать.

    В беркли могут затупить не меньше чем где либо еще.

     

  • 1.15, robux (ok), 18:35, 05/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Согласен с ораторами:
    если бы заголовок был "Представлена децентрализованная база сертификатов",
    то это была бы новость Опёнка.

    А так еще один пафосный зонд от ЦРУ:
    в Час Хэ этот "центр" будет отвечать фейлом нужным странам/зонам и парализует их деятельность.

     
     
  • 2.16, YetAnotherOnanym (?), 19:46, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если у властей есть голова на плечах, они могут запилить свой такой же центр, с нардами и гуриямми, который будет синхронизироваится с Берклеевским, в той части, которую оперирующая им организация сочтёт нужным. И просто тупо обязать производителей софта, продаваемого в стране, прописывать дефолтом местный центр (то же для прошивок).
    Впрочем, последние события в Персии показали, что мозгов на это у властей не всегда хватает.
     
  • 2.18, Crazy Alex (ok), 21:24, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну ладно, от ЦРУ не защитит - зато от КомодоХакеров - вполне. Тоже неплохо.
     
     
  • 3.25, Аноним (-), 22:56, 05/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну ладно, от ЦРУ не защитит - зато от КомодоХакеров - вполне.

    Если заменить одних му...ков на других му...ков, это не защита а имитация бурной деятельности.


     
  • 2.30, thelamon (ok), 09:48, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Желтоватый коммент. По-моему, сама суть этого сервиса, чтобы сообщать о том, валидный ли с _его_ точки зрения сертификат или нет. + время когда он был инвалидирован. А вот решать, что делать дальше - дело пользователя. Мне кажется, пока что будет уместно показывать сообщение, аналогичное тому, какое показывают браузеры, если DNS в сертификате и в непосредственно в запросе отличаются. В таком варианте - сервис мне нравится и не вижу проблем с ним. Если он не работает - от него не будет никакой инфы == будет как сейчас.

    А вот когда к этому сервису будет около 100% доверие и надёжность 99.99% (а лучше 99.9999%) - тогда для браузеров будет иметь смысл автоматически блокировать доступ.

    Кстати про Single point of failure это слегка спорно. Это же DNS по сути - значит оно не слишком-то Single - можно кучу серверов поставить, ну да и так всем понятно. Инфа там автоматом реплицируется, не вижу проблемы :)

    PS. И да, сторонникам теории всемирного заговора конечно будет чудиться след агентов ЦРУ везде где только можно.

     
     
  • 3.33, filosofem (ok), 10:37, 06/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Это же DNS по сути - значит оно не слишком-то Single - можно кучу серверов поставить, ну да и так всем понятно.

    Верно, только наоборот. Хаксору не нужна даже централизованная база. Можно любой из серверов поломать/отравить. А для MITM спуфить DNS ответы вообще как два пальца.

     

  • 1.21, Аноним (21), 21:58, 05/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    уже сейчас использую Perspectives для фаерфокс, дополнительный аналогичный сервис это плюс.
     
  • 1.41, Аноним (-), 13:41, 06/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Планету спасти не осилит, но одиозное раздолбайство удостоверяющих центров будет обнаруживать более оперативно. Осталось понять какая от этого получается польза, после краха голландцев с любым удостоверяющим центром, кроме личного, все равно работаешь на авось, на свой страх и риск.
    Имхо но системы основанные на доверии при своем расширении  неустойчивы и малопригодны принципе, они могут существовать только в малых группах при наличии возможностей перепроверки. Возможно ICSI может выступить в роли такой перепроверки. Но это сильно ограниченно ибо там, в самом низу, есть раздел называется Disclaimer и в нем, что называется, все существо дела и отражено :) .
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру