Цифровые нотариаты и административное значение TLS/SSL
Как известно, перехват HTTPS проще реализовать при участии удостоверяющего центра, который, технически, может выпустить особый сертификат, позволяющий перехватывающему узлу выдать себя за легитимный сервер, с которым планировал соединиться пользователь. Эта особенность протокола ставит удостоверяющие центры в положение, когда их (вполне обосновано) постоянно подозревают в выпуске “перехватывающих сертификатов”. Или, как минимум, в содействии такому выпуску. После недавних “разоблачений АНБ” эта, чисто административная ситуация, сильно обострилась. Проблем добавляет и тот факт, что стандартные средства TLS/SSL, изначально разработанные для защиты коммерческих транзакций, выполняемых через Интернет, сейчас используются жителями разных стран с целью защиты личных сообщений и прочих важных данных.
Тут возможно техническое решение, которое ввело бы некий дополнительный распределённый нотариат, поддерживаемый сообществом и, поэтому, независимый как от удостоверяющих центров, так и от разработчиков браузеров. Я писал про инициативу Certificate Transparency, она как раз является одним из таких нотариатов. Так вот, интересно, что удостоверяющим центрам появление такого сервиса должно бы быть полезным. Этот сервис, если он будет развёрнут повсеместно, лишает выпуск “перехватывающих сертификатов” всякого смысла: встретив подобный сертификат, браузер всё равно будет выдавать предупреждение системы безопасности. И это должно снять подозрения с удостоверяющих центров.
Впрочем, в реальности, появление подобного нотариата означает лишь, что сузится круг интересных с точки зрения обеспечения перехвата удостоверяющих центров, а это приведёт к изменению административной иерархии. То есть, наличие распределённой системы, призванной победить угрозу перехвата HTTPS, при должной поддержке в дистрибутивах браузеров позволит реализовать схемы, когда для сайтов заданной государственной принадлежности будут допустимы только сертификаты уполномоченных удостоверяющих центров.
Впрочем, нужно подождать, посмотреть, что выпустят производители браузеров.
Адрес записки: https://dxdt.ru/2013/10/10/6235/
Похожие записки:
- TLS для DevOps
- Возможное обновление алгоритмов DNSSEC в корне DNS
- DNS-over-TLS на авторитативных серверах DNS
- Десятилетие DNSSEC в российских доменах
- Мониторинг: фитнес-браслет и смартфон
- Статистика ESNI в Рунете и статья о технологии
- Реплика: возможный доступ приложений "Яндекса" к OBD автомобиля
- "Инспекция" трафика с сохранением конфиденциальности
- Доверенные программы для обмена сообщениями
- Интернет-протокол "дымовой завесы"
- Open Source и добавление "вредоносного кода"
1 комментарий от читателей
1. 11th October 2013, 01:37 // Читатель jno написал:
Кто-то (не Билл Джой, часом?) уже предлагал похеоить всю эту безопасность оптом и жить исходя из того, что все всем видно…