Mellékleteink: HUP | Gamekapocs
Keres

Listázza a problémás tanúsítványkibocsátókat a Google

Voith Hunor, 2016. március 23. 11:30

A cég egy új átláthatósági naplót vezetett be, amiben a már nem és még nem megbízható CA-kat listázza. Gyakorlatilag feketelista jött létre, amelyet várhatóan más iparági szereplők is átvesznek majd.

Bővítette a tanúsítványkibocsátókra vonatkozó átláthatósági programját a Google – jelentette be egy blogbejegyzésben a vállalat. A frissen bevezetett napló azokat a tanúsítványkibocsátókat (CA, certificate authority) sorolja fel, amelyektől a böngészőgyártók vagy már megvonták a bizalmat, vagy már folyik az ellenőrzésük, de még nem zárult le és hivatalosan nem minősülnek megbízhatónak.

A Google szerint azért volt szükség az új lista létrehozására, mert ezeket a CA-kat a már meglévő listába különböző okok (például eltérő visszavonási eljárások, cross-signing támadások) miatt problémás beemelni. Az viszont fontos, hogy státuszuk minden érdeklődő előtt tiszta legyen, ezért a keresőóriás Submariner néven, a ct.googleapis.com/submariner címen elérhetővé teszi ezt a naplót a már megszokott naplókezelési API-kon keresztül.

Az új lista egyelőre néhány, a Symantec által visszavont, illetve a Mozilla által bevizsgálás alatt álló gyökértanúsítványt tartalmaz, a Google pedig további javaslatokat vár a tanúsítványok kezelésére fenntartott email címen (google-ct-logs@googlegroups.com).

Várható volt

A Google-nek tavaly alaposan meggyűlt a baja két nagy tanúsítványkibocsátóval is. Először a kínai CNNIC (China Internet Network Information Center), majd a Symantec bocsátott ki kéretlenül olyan tanúsítványokat, amelyeket a Google megszemélyesítésére lehetett használni. Az esetek újra felszínre hozták a tanúsítványok rendszerének alapvető gyengeségét: azt, hogy az egész ökoszisztéma a tranzitív bizalomra épül.

A böngészők és operációs rendszerek néhány gyökértanúsítványt elfogadnak abszolút biztonságosként, erre építve alakul ki a kibocsátók fastruktúrája - minden szint felel azért, hogy a következő szint betartsa a protokollokat és megfeleljen e bizalomnak. A tanúsítványok ma már az internetes biztonság alapköveivé váltak: ezek felelnek azért, hogy a kliens és a szerver között biztonságos, titkosított kapcsolat jöhessen létre, úgy, hogy abba harmadik fél ne tudjon belenyúlni. A tanúsítvány szerepe a folyamatban az, hogy azonosítja a szervert és garantálja, hogy a böngészővel beszélő kiszolgáló az, aminek mondja magát (esetünkben a google.com a Google-é, és nem egy közbeékelődő támadóé).

A Google ellenőrzési keretrendszerével (Certificate Transparency) ezt a rendszert próbálja egy folyamatosan frissített megbízhatósági adatbázissal megtámogatni, így a végfelhasználóktól az üzemeltetőkön át a böngészőfejlesztőkig mindenki hozzáférhet a biztonságot fokozó információkhoz.

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.