Szerző: Voith Hunor

2016. március 23. 11:30:00

Listázza a problémás tanúsítványkibocsátókat a Google

A cég egy új átláthatósági naplót vezetett be, amiben a már nem és még nem megbízható CA-kat listázza. Gyakorlatilag feketelista jött létre, amelyet várhatóan más iparági szereplők is átvesznek majd.

Bővítette a tanúsítványkibocsátókra vonatkozó átláthatósági programját a Google – jelentette be egy blogbejegyzésben a vállalat. A frissen bevezetett napló azokat a tanúsítványkibocsátókat (CA, certificate authority) sorolja fel, amelyektől a böngészőgyártók vagy már megvonták a bizalmat, vagy már folyik az ellenőrzésük, de még nem zárult le és hivatalosan nem minősülnek megbízhatónak.

A Google szerint azért volt szükség az új lista létrehozására, mert ezeket a CA-kat a már meglévő listába különböző okok (például eltérő visszavonási eljárások, cross-signing támadások) miatt problémás beemelni. Az viszont fontos, hogy státuszuk minden érdeklődő előtt tiszta legyen, ezért a keresőóriás Submariner néven, a ct.googleapis.com/submariner címen elérhetővé teszi ezt a naplót a már megszokott naplókezelési API-kon keresztül.

Az új lista egyelőre néhány, a Symantec által visszavont, illetve a Mozilla által bevizsgálás alatt álló gyökértanúsítványt tartalmaz, a Google pedig további javaslatokat vár a tanúsítványok kezelésére fenntartott email címen (google-ct-logs@googlegroups.com).

Várható volt

A Google-nek tavaly alaposan meggyűlt a baja két nagy tanúsítványkibocsátóval is. Először a kínai CNNIC (China Internet Network Information Center), majd a Symantec bocsátott ki kéretlenül olyan tanúsítványokat, amelyeket a Google megszemélyesítésére lehetett használni. Az esetek újra felszínre hozták a tanúsítványok rendszerének alapvető gyengeségét: azt, hogy az egész ökoszisztéma a tranzitív bizalomra épül.

Éles a HWSW mobile! programja (x) A legnagyobb hazai digitális termékfejlesztési konferencia 5 szekcióval, 90 előadóval, dedikált workshop nappal várja a látogatókat.

A böngészők és operációs rendszerek néhány gyökértanúsítványt elfogadnak abszolút biztonságosként, erre építve alakul ki a kibocsátók fastruktúrája - minden szint felel azért, hogy a következő szint betartsa a protokollokat és megfeleljen e bizalomnak. A tanúsítványok ma már az internetes biztonság alapköveivé váltak: ezek felelnek azért, hogy a kliens és a szerver között biztonságos, titkosított kapcsolat jöhessen létre, úgy, hogy abba harmadik fél ne tudjon belenyúlni. A tanúsítvány szerepe a folyamatban az, hogy azonosítja a szervert és garantálja, hogy a böngészővel beszélő kiszolgáló az, aminek mondja magát (esetünkben a google.com a Google-é, és nem egy közbeékelődő támadóé).

A Google ellenőrzési keretrendszerével (Certificate Transparency) ezt a rendszert próbálja egy folyamatosan frissített megbízhatósági adatbázissal megtámogatni, így a végfelhasználóktól az üzemeltetőkön át a böngészőfejlesztőkig mindenki hozzáférhet a biztonságot fokozó információkhoz.

a címlapról

Hirdetés

Éles a HWSW mobile! programja

2019. november 13. 08:33

A legnagyobb hazai digitális termékfejlesztési konferencia 5 szekcióval, 90 előadóval, dedikált workshop nappal várja a látogatókat.