Protezione contro i certificati canaglia

6

Recentemente ci sono state molte notizie sui certificati falsificati (a causa dell'autorità di emissione che ha una scarsa sicurezza del sistema!). Apparentemente gli utenti target erano per lo più iraniani, ma non è difficile immaginare che questo succeda a chiunque.

Il mio browser è precaricato con centinaia di certificati. C'è un modo per proteggersi dai certificati canaglia?

Nota: mi rendo conto che si tratta più di un problema di "sicurezza" che di un problema di "crittografia", quindi non esitare a discutere contro questo tipo di domande nei commenti se ritieni che sia fuori limiti per questo forum.

    
posta Fixee 19.09.2011 - 19:31
fonte

3 risposte

6

Bene, il protocollo SSL si basa sul fatto che "ci si fida" della parte che rilascia il certificato e l'impostazione corrente è che qualsiasi CA può emettere un certificato per qualsiasi dominio. Ci sono stati progetti che tentano di implementare l'infrastruttura Web of Trust per i certificati SSL, in cui la comunità conferma l'autenticità del certificato. Ma ancora: devi fidarti della community.

Ad esempio, c'è il progetto Perspectives . È un'estensione per Firefox che consente di scegliere un "server notarile" che controlla se il certificato presentato è lo stesso certificato che vedono gli altri utenti (in modo da poter rilevare l'attacco Man-In-The-Middle).

C'è anche un nuovo progetto chiamato Convergence.io fatto da Moxie Marlinspike basato sulle idee di Perpectives ma che consente una configurazione a grana fine. Attualmente è il migliore e sembra attirare rapidamente l'attenzione. Mi consiglia di installare Convergence.io.

    
risposta data 19.09.2011 - 23:07
fonte
4

Ci sono un paio di metodi che ho visto che possono essere usati per aiutare a proteggere da certifiaci.

Cert Patrol è un plugin firefox che avvisa l'utente quando i certificati precedentemente accettati cambiamento.

Convergence è più un'alternativa al tradizionale sistema CA.

Anche Google hard codifica i certificati legittimi per i loro servizi in chrome, il che potrebbe aiutare in quello specifico scenario, ma non è una soluzione per il caso più ampio.

Un'altra idea che ho visto suggerito, ma non ancora implementata, sarebbe quella di avere più firme su un certificato, quindi per esempio ottenere 3 CA per firmare un determinato cert (anche se penseresti che questo avrebbe bisogno di qualche browser integrazione in modo che accetti che uno e non un singolo certificato firmato per lo stesso dominio). Ciò non risolve realmente la causa principale, ma potrebbe aiutare a ridurre la probabilità di un singolo compromesso della CA che consente una completa violazione della configurazione di attendibilità SSL.

    
risposta data 19.09.2011 - 22:57
fonte
3

@JeffFerland ha scritto questo post del blog sull'argomento "Risolvere il problema dell'autorità di certificazione" e, oltre alla risposta fornita da @RoryMcCune, anche lui e @nealmcb hanno fornito un eccellente input sull'argomento rispondendo questa domanda.

    
risposta data 19.09.2011 - 23:04
fonte