Můžeme věřit certifikačním autoritám?
Na trhu se pohybuje poměrně velké množství certifikačních autorit a v podstatě kterákoliv z nich může vydat certifikát pro jakýkoliv web na světě.
Problém je, že pokud je daná certifikační autorita (Certification Authority, zkr. CA) kompromitována, může certifikáty jejím jménem vydávat i útočník a pokud se navíc daná CA nachází na seznamu kořenových certifikačních autorit, jsou i všechny jí vydané certifikáty považovány automaticky za důvěryhodné a tedy i servery, kterým tato nebo jí podřízené CA certifikát vydaly.
Z pohledu uživatele to pak funguje tak, že v okamžiku, kdy se uživatel připojí přes HTTPS (v adresním řádku je napsáno https:// a je zobrazena ikona visacího zámku) na nějaký web, který si nechal od libovolné CA vystavit certifikát, tak se jeho internetový prohlížeč pokusí zkontrolovat atributy daného certifikátu, a pokud je vše v pořádku, nezobrazí žádnou varovnou hlášku, neboť certifikát považuje za platný. Kromě toho může prohlížeč ještě podbarvit adresu v prohlížeči modrou nebo zelenou barvou (v případě, že se jedná o EV certifikát).
Prohlížeči se však nemusí podařit certifikát vůbec ověřit, např. proto, že certifikát vydala CA, kterou prohlížeč ve svém seznamu důvěryhodných CA nemá. Je tomu tak proto, že prohlížeč obsahuje jen certifikáty těch CA, které se výrobce prohlížeče rozhodl, že bude podporovat. Uživatel si však může certifikát CA do seznamu kořenových CA přidat sám. Prostě si stáhne z webové stránky dané CA její certifikát a ručně ho pak přidá prostřednictvím dialogu ve svém prohlížeči k ostatním CA. A stejně tak může uživatel i certifikát CA, které nedůvěřuje, z tohoto seznamu odstranit a nemusí čekat, zda ho daná CA sama prohlásí za neplatný.
První, co asi každého napadne, je zda by neměly CA projít nějakým procesem certifikace. Jistě, proč ne, ale bude certifikát o tom, že daná CA splňuje ta nejpřísnější kritéria, dostatečnou zárukou? Nebude. Je třeba si uvědomit, že ať už nastavíme podmínky, za jakých může CA nabízet své služby, jakkoliv, otevírá se zde prostor pro korupci. A i kdyby tomu tak nebylo, tak certifikát nám poskytuje informaci pouze o tom, že v době certifikace byl daný subjekt plně v souladu s požadavky, které někdo stanovil. Tedy že odpovídající opatření na úrovni fyzické, logické a administrativní bezpečnosti byla v době certifikace zavedena a plně funkční.
Úroveň bezpečnosti dané CA se však bohužel může velice rychle změnit, neboť i prostředí, ve kterém CA svoje služby nabízí a poskytuje, se velice rychle mění. Stačí, když jednoho krásného dne někdo objeví novou zranitelnost systému, který CA používá a hned ji zneužije. Ale stejně tak může dojít i k selhání lidské obsluhy. Z tohoto důvodu by měl být aplikován security in depth přístup, aby když selže opatření na jedné vrstvě, tak aby byl útok zachycen na vrstvě druhé. Žádné opatření však není stoprocentní a určité riziko kompromitace dané CA zde bude existovat vždy.
Zastánci klasické ekonomie budou možná tvrdit, že jakákoliv regulace je špatná, a to že daná CA zkrachovala, je v pořádku, že je to jen důkaz toho, jak trh dobře funguje, a že je správné, že ti, co nejsou schopni nabídnout kvalitní služby, ztratí důvěru domácností a firem a zmizí v propadlišti dějin. Jsou ale případy, kdy není možné umožnit komukoliv vykonávat určitou činnost, a kdy je nějaká regulace prostě nutná, protože jedině tak lze zabránit škodám, a tohle je jeden z nich. Jak často by se ale měla úroveň bezpečnosti v dané CA kontrolovat? Kdo by měl onu kontrolu provádět? Co dělat, když bude shledán nějaký nedostatek? Měly by být vůči provinilé CA uplatňovány nějaké sankce a v jaké výši?
Štítky: informační bezpečnost
K článku “Můžeme věřit certifikačním autoritám?” se zde nachází 2 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Je potřeba si také uvědomit, že celý princip certifikátů a CA je postaven na velice křehkém vztahu důvěry. Já (jako uživatel internetu) věřím, že CA má pravdu, když říká, že jsem skutečně na stránkách mého finančního ústavu. Co když ale někdo tuto CA veřejně nařkne z kompromitace, z toho, že byla hacknuta? Mám jí i nadále věřit? Domnívám se, že podstata regulace je rozhodně potřeba, protože v podobných situacích může pomoci udržet / obnovit poškozenou důvěru v CA, pakliže tedy nedošlo ke kompromitaci.
Větší riziko než důvěryhodnost CA je důvěryhodnost procesu vydávání dalších certifikátů. Jaká kritéria musí splňovat server, pro který se SSL vydává? Ten server se kontroluje na přítomnost malwaru a phishingových aktivit jak často? Vždyť koupit si nějaký SSL certifikát není problém, jeho detaily nikdo nečte a jediným problémém zůstává, že třeba není v prohlížeči a na uživatele řve, že jej nezná – tak BFU prostě odklikne Ano a hurá na https://phishingsite.cz.