Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS. Ресурсы: LaTeX - DNSSEC: проверка, внедрение
Let`s Encrypt – публичное бета-тестирование
Проект Let`s Encrypt, который позволяет в автоматическом режиме и бесплатно получать SSL-сертификаты, объявил о переходе в статус публичного бета-тестирования. Let`s Encrypt ориентирован на HTTPS и работает следующим образом: для получения сертификата на сервер, где этот сертификат будет использоваться, устанавливается специальное клиентское ПО (написанное на языке Python), это ПО взаимодействует с сервером удостоверяющего центра, подтверждает “владение доменом”, получает сертификат, настраивает локальную конфигурацию веб-сервера. В общем – автоматически выполняет все те действия, которые, как считается, отнимают у администратора сервера много времени, требуют специальных знаний и, тем самым, препятствуют массовому распространению HTTPS.
Инициатива, конечно, выглядит полезной. Но есть некоторые опасения. Так, клиент Let`s Encrypt требует рутовых прав для исполнения своих функций. Не удивительно: скрипту требуется возможность принимать соединения на привилегированные номера TCP-портов – 80 и 443, а также записывать конфигурационные файлы веб-сервера. С этим и связаны очевидные опасения, которые, тем не менее, я опишу.
Если скрипты клиента Let`s Encrypt содержат уязвимости, то уязвимой оказывается и система, в которую был установлен клиент. А то, что скрипты по определению должны принимать внешние соединения – сразу наводит на мысли об удалённом исполнении кода. При этом предполагается, что клиент заведомо используют администраторы, не обладающие высокой квалификацией (квалифицированным он, вообще говоря, не требуется, да и они, обычно, доверяют только собственным рукам). То есть, типичный администратор не будет понимать, что происходит с его сервером во время работы скриптов клиента и, вполне вероятно, не сможет не только предотвратить проблему, но и обнаружить её. Для применения систем защиты информации – это не самый лучший расклад.
К сожалению, похоже, что в обозримом будущем мы можем увидеть сообщения о клиенте Let`s Encrypt примерно следующего содержания: “из-за ошибки в программном коде тысячи TLS-серверов используют уязвимые ключи”, “уязвимость клиента позволяет получить удалённый доступ к секретным ключам”, “ошибка в реализации протокола позволила злоумышленникам выпустить сертификаты для доменов, которые им не принадлежат”. Ну и так далее. Впрочем, нужно понимать, что подобные новости мы и так постоянно читаем, только они касаются других повсеместно используемых библиотек и утилит, так что Let`s Encrypt не принесёт тут ничего принципиально нового в плане угроз и рисков. Разве что ошибки станут сопровождаться автоматическим выпуском SSL-сертификатов.
()
Похожие записки:
- Прикладная криптография для Arduino: шифр Speck, сравнение с шифром "Магма"
- Интернет вещей: шифр "Магма" (ГОСТ Р 34.12-2015) для Arduino
- Кванты, квантовая криптография с компьютерами
- Реплика: снова биометрическая идентификация для банков
- Изменение среды
- Symantec и браузер Chrome
- Описание TLS 1.3 на tls.dxdt.ru
- Занимательные каналы утечки
- Квантовый компьютер и криптоанализ симметричных шифров
- Самоуправляемые автомобили: "злоупотребление" протоколами
- Сеть Биткойн, блокчейн и квантовые компьютеры
- Ссылка: копирование памяти iPhone (NAND mirroring)
- Практическая коллизия для SHA-1
- Техническое: ротация корневого ключа DNSSEC
- Подделка сигнала GPS (GPS-спуфинг)
- Доступ к "биллингу" операторов связи и "обезличенные данные"
- Сертификаты WoSign и dxdt.ru с ECC
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (