Listázza a problémás tanúsítványkibocsátókat a Google
A cég egy új átláthatósági naplót vezetett be, amiben a már nem és még nem megbízható CA-kat listázza. Gyakorlatilag feketelista jött létre, amelyet várhatóan más iparági szereplők is átvesznek majd.
Bővítette a tanúsítványkibocsátókra vonatkozó átláthatósági programját a Google – jelentette be egy blogbejegyzésben a vállalat. A frissen bevezetett napló azokat a tanúsítványkibocsátókat (CA, certificate authority) sorolja fel, amelyektől a böngészőgyártók vagy már megvonták a bizalmat, vagy már folyik az ellenőrzésük, de még nem zárult le és hivatalosan nem minősülnek megbízhatónak.
A Google szerint azért volt szükség az új lista létrehozására, mert ezeket a CA-kat a már meglévő listába különböző okok (például eltérő visszavonási eljárások, cross-signing támadások) miatt problémás beemelni. Az viszont fontos, hogy státuszuk minden érdeklődő előtt tiszta legyen, ezért a keresőóriás Submariner néven, a ct.googleapis.com/submariner címen elérhetővé teszi ezt a naplót a már megszokott naplókezelési API-kon keresztül.
Az új lista egyelőre néhány, a Symantec által visszavont, illetve a Mozilla által bevizsgálás alatt álló gyökértanúsítványt tartalmaz, a Google pedig további javaslatokat vár a tanúsítványok kezelésére fenntartott email címen (google-ct-logs@googlegroups.com).
Várható volt
A Google-nek tavaly alaposan meggyűlt a baja két nagy tanúsítványkibocsátóval is. Először a kínai CNNIC (China Internet Network Information Center), majd a Symantec bocsátott ki kéretlenül olyan tanúsítványokat, amelyeket a Google megszemélyesítésére lehetett használni. Az esetek újra felszínre hozták a tanúsítványok rendszerének alapvető gyengeségét: azt, hogy az egész ökoszisztéma a tranzitív bizalomra épül.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A böngészők és operációs rendszerek néhány gyökértanúsítványt elfogadnak abszolút biztonságosként, erre építve alakul ki a kibocsátók fastruktúrája - minden szint felel azért, hogy a következő szint betartsa a protokollokat és megfeleljen e bizalomnak. A tanúsítványok ma már az internetes biztonság alapköveivé váltak: ezek felelnek azért, hogy a kliens és a szerver között biztonságos, titkosított kapcsolat jöhessen létre, úgy, hogy abba harmadik fél ne tudjon belenyúlni. A tanúsítvány szerepe a folyamatban az, hogy azonosítja a szervert és garantálja, hogy a böngészővel beszélő kiszolgáló az, aminek mondja magát (esetünkben a google.com a Google-é, és nem egy közbeékelődő támadóé).
A Google ellenőrzési keretrendszerével (Certificate Transparency) ezt a rendszert próbálja egy folyamatosan frissített megbízhatósági adatbázissal megtámogatni, így a végfelhasználóktól az üzemeltetőkön át a böngészőfejlesztőkig mindenki hozzáférhet a biztonságot fokozó információkhoz.