Реальность SSL в Интернете: Trustwave

На прошлой неделе масла в огонь обсуждения непростой ситуации с иерархией SSL-сертификатов в Интернете подлил бренд Trustwave, представители которого открыто признали, что их удостоверяющий центр выпустил корневые сертификаты (или, возможно, один сертификат – как утверждают) для использования в составе систем мониторинга трафика. То есть, при помощи ключей от такого сертификата можно перехватывать HTTPS-соединения и просматривать трафик так, что рядовой пользователь даже ничего не почувствует: нет никаких предупреждений браузера, не меняется домен, не перенаправляются запросы. Схема работает благодаря тому, что корень Trustwave встроен в браузеры.

(Наверное, нужно в отдельной заметке описать, как всё это реализуется в технических деталях. Но, думаю, в другой раз. Пока отмечу, что в действительно корпоративном окружении для организации прозрачного исследования HTTPS-трафика с корпоративных рабочих мест не требуется использовать полноценный корневой сертификат, выпущенный признаваемым удостоверяющим центром в обход фундаментальных правил: достаточно сделать собственный “корень” и встроить его в браузеры на рабочих местах. Собственно, обычно так и поступают. А вот полноценный сертификат позволяет прозрачно перехватывать трафик с любого компьютера, подключенного к контролируемому сегменту сети. Например, такая штука очень хорошо будет работать в отеле, куда посетители приезжают со своими компьютерами.)

Вообще, рассказывая о реализации технологий взаимодействия с веб-сайтами по HTTPS, с использованием SSL-сертификатов, редко кто обходится без упоминания об иерархии доверия, которую составляют удостоверяющие центры. Последние выпускают сертификаты для тех или иных доменов, под которыми работают защищённые веб-сайты. (Для полноты картины напомню, что сертификаты используются не только для доменов и сайтов, но и для подписывания программного кода, при авторизации пользователей и так далее.) Известно, что использование HTTPS позволяет защитить трафик от перехвата, для этого служит шифрование. Третья сторона, – как раз представляющая элемент только что упомянутой иерархии удостоверяющих центров, – нужна для того, чтобы исключить атаки типа “человек посередине”. Именно пример такой атаки, когда злоумышленник выдаёт себя за доверенный сайт, подставляя вместо “настоящего” свой собственный SSL-сертификат, традиционно используют в качестве иллюстрации, обосновывающей необходимость удостоверяющих центров.

Хорошо известно, что если злоумышленник сумел получить доступ к удостоверяющему центру, то система доверия полностью разрушается, а пользователь, который вынужден по определению доверять сертификатам центра (они встроены в браузер!), оказывается даже в худшем положении по сравнению со случаем, когда SSL-сертификаты никто дополнительно не удостоверяет.

Едва ли не менее популярным поводом для дискуссий сейчас является тот факт, что из-за “особенностей реализации” всякий удостоверяющий центр может выпустить вполне рабочий сертификат для любого домена. То есть, вы приобрели коммерческий сертификат для своего сайта, и при этом никто не гарантирует, что кто-то ещё тем или иным способом не приобретёт в другом удостоверяющем центре сертификат для вашего же домена. Да, а сообщение Trustwave очередной раз подтверждает, что вовсе не обязательно, чтобы в упомянутой схеме активно участвовал злоумышленник.

Полноценные сертификаты для “чужих” доменов могут использоваться в системах мониторинга и анализа трафика. Традиционный рынок для таких систем – сети и узлы, от которых требуется отслеживание шифрованного (и, якобы, “доверенного”) трафика HTTPS. Об этих “особенностях” давно известно, постоянно ходят как бы слухи, что удостоверяющие центры выпускают “левые” сертификаты по “особым заявкам”, но шумное публичное обсуждение вне профильного сообщества, похоже, намечается только сейчас.

Вернёмся к теме: да, проблема тут в том, что Trustwave использовали своё положение “центра доверия” для того, чтобы поставлять систему, трактующую это “доверие”, мягко говоря, не так, как его трактуют в презентациях для владельцев веб-сайтов, которые приобретают SSL-сертификаты. С другой стороны, хорошо известно, что Trustwave не первые, и, возможно, не последние. А всё это лишь очередной громкий информационный повод для того чтобы “пересмотреть существующую систему”. Чуть ранее шумели вокруг “массовых взломов и хакерских атак на VeriSign” (а это вообще крупнейший провайдер “доверия” в действующей иерархии, даже DNS подписана с участием этой компании). Вокруг данных технологий существует заметный рынок и разные бизнесы, так что, похоже, заготовлено занятное продолжение.

Адрес записки: https://dxdt.ru/2012/02/12/4543/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 2

  • 1. 12th February 2012, 23:22 // Читатель jno написал:

    Возвращаемся к тому же – “доверяемая” инфрастуктура доверия не заслуживает и снейк-ойл ни чем не хуже (платного) официоза.

  • 2. 13th February 2012, 14:21 // Александр Венедюхин:

    Да, выходит именно так.