Poklesne díky Certificate Transparency počet útoků založených na podvržených certifikátech?

Od 30. dubna 2018 musí být všechny vydané TLS certifikáty vystaveny v databázích Certificate Transparency, zkr. CT.

Pokud tam prohlížeč Google Chrome certifikát nenajde, tak jej bude považovat za nedůvěryhodný.

Toto opatření by mělo umožnit snáze a rychleji odhalit podvodně vydané certifikáty. Neměla by se tak např. opakovat kauza Black Tulip, kdy byla hacknuta holandská certifikační autorita DigiNotar a následně došlo k vydání několik set podvodných certifikátů a přišlo se na to až za poměrně dlouhou dobu. Což mimochodem silně otřáslo důvěrou v samotný koncept CA.

Pro útočníky však nepředstavuje zařazení jejich certifikátu do CT logů žádný problém. A ani nemají potřebu se snažit záznamy v nich nějak upravovat, takže nějaký Merklův hashovací strom, který by měl tyto logy před modifikací ochránit, vůbec nemusí řešit.

Aby byl podvodně vydaný certifikát včas detekován, musel by primárně každý vlastník dané domény CT log sledovat a soustavně vyhodnocovat, zda se v něm náhodou neobjevil nějaký ten nový certifikát, pro některou z jeho domén anebo jí podobnou.

A byť jsou k dispozici i automatizovaná řešení, které by právě toto měla umožnit, tak se obávám, že drtivá většina provozovatelů domén toto nejspíš dělat nebude, minimálně ne v následujících několika letech. Ostatně žádné z předchozích řešení se zatím nijak výrazně neuchytilo. Vezměte si, jak dlouho se už mluví třeba o DNSSEC a jaké je jeho reálné nasazení.

Pravda je, že počet vydaných certifikátů a webů komunikujících přes https roste, a bohužel i těch podvodných, takže každé další opatření ke zvýšení bezpečnosti je nutné jedině vítat. Drtivá většina útoků však není založena na vydání certifikátu pro doménu stejného jména jako spíš podobného jména nebo dokonce i jména zcela jiného. Ideální by tak bylo detekovat podvodné domény ještě dříve, než jsou opatřeny certifikátem.

V útocích, kde byly použity stejná doménová jména, měli útočníci zpravidla pod kontrolou i síťovou infrastrukturu, takže mohli směrovat dotazy tam, kam bylo potřeba. Ve výsledku tak bude přínos tohoto řešení, popsaný v RFC6962 nejspíš výrazně menší, než jsou stávající optimistické předpoklady. Ale nechme se překvapit.

Budete provádět kontrolu CT logů?

Nahrávání ... Nahrávání ...
Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.


K článku “Poklesne díky Certificate Transparency počet útoků založených na podvržených certifikátech?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: