Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Цифровые нотариаты и административное значение TLS/SSL
Как известно, перехват HTTPS проще реализовать при участии удостоверяющего центра, который, технически, может выпустить особый сертификат, позволяющий перехватывающему узлу выдать себя за легитимный сервер, с которым планировал соединиться пользователь. Эта особенность протокола ставит удостоверяющие центры в положение, когда их (вполне обосновано) постоянно подозревают в выпуске “перехватывающих сертификатов”. Или, как минимум, в содействии такому выпуску. После недавних “разоблачений АНБ” эта, чисто административная ситуация, сильно обострилась. Проблем добавляет и тот факт, что стандартные средства TLS/SSL, изначально разработанные для защиты коммерческих транзакций, выполняемых через Интернет, сейчас используются жителями разных стран с целью защиты личных сообщений и прочих важных данных.
Тут возможно техническое решение, которое ввело бы некий дополнительный распределённый нотариат, поддерживаемый сообществом и, поэтому, независимый как от удостоверяющих центров, так и от разработчиков браузеров. Я писал про инициативу Certificate Transparency, она как раз является одним из таких нотариатов. Так вот, интересно, что удостоверяющим центрам появление такого сервиса должно бы быть полезным. Этот сервис, если он будет развёрнут повсеместно, лишает выпуск “перехватывающих сертификатов” всякого смысла: встретив подобный сертификат, браузер всё равно будет выдавать предупреждение системы безопасности. И это должно снять подозрения с удостоверяющих центров.
Впрочем, в реальности, появление подобного нотариата означает лишь, что сузится круг интересных с точки зрения обеспечения перехвата удостоверяющих центров, а это приведёт к изменению административной иерархии. То есть, наличие распределённой системы, призванной победить угрозу перехвата HTTPS, при должной поддержке в дистрибутивах браузеров позволит реализовать схемы, когда для сайтов заданной государственной принадлежности будут допустимы только сертификаты уполномоченных удостоверяющих центров.
Впрочем, нужно подождать, посмотреть, что выпустят производители браузеров.
Адрес записки: https://dxdt.ru/2013/10/10/6235/
Похожие записки:
- Обновление темы dxdt.ru
- Браузеры и перехват TLS без участия УЦ
- Техническое описание TLS: обновление 2022
- Экспериментальный сервер TLS 1.3: замена сертификатов
- Ретроспектива заметок: деанонимизация по географии
- Трафик на тестовом сервере TLS 1.3 и ESNI
- Системы счисления и системное администрирование
- Удостоверяющий центр TLS ТЦИ
- Сервис для просмотра логов Certificate Transparency
- TLS-сертификаты dxdt.ru
- Открытые "исходники" и "бинарный" код с точки зрения ИБ
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
1 комментарий от читателей
1. 11th October 2013, 01:37 // Читатель jno написал:
Кто-то (не Билл Джой, часом?) уже предлагал похеоить всю эту безопасность оптом и жить исходя из того, что все всем видно…