Mozilla ve své poslední verzi internetového prohlížeče Firefox představuje novinku v podobě ochrany před podvrženými certifikáty. Tato vlastnost je pojmenována „certificate key pinning“ a umožní serveru internetové služby (např. Twitter) specifikovat, které certifikáty (SSL/TLS) jsou správné.
Cílem této ochrany je zabránit útokům, které by byly podobné útoku z roku 2011. Tehdy došlo k tomu, že holandská certifikační autorita Diginotar byla buď hacknuta, nebo nějak jinak podvedena, a vydala validní certifikát SSL, který fungoval pro doménu Google. Následný útok byl pak směřován na uživatele služby Gmail.
Teoreticky to umožnilo útočníkům vytvořit falešnou stránku, která by vypadala stejně jako Gmail a internetový prohlížeč by nehlásil žádné bezpečnostní riziko vzhledem k validnímu certifikátu. To navíc není žádná novinka, protože bezpečností experti o riziku útoků na samotné certifikační autority hovořili již dříve.
Zmíněná ochrana „certificate pinning“ by takovému útoku dokázala zabránit, protože by Firefox věděl, že Diginotar takový certifikát vůbec neměl vydat.
A v tom spočívá tato novinka, kterou Mozilla implementovala do nového Firefoxu 32. Pokud bude certifikát odpovídat dostupné databázi, Firefox zobrazí standardní ikonku zámku signalizující zabezpečené spojení. Pokud by se jednalo o podvržený certifikát, Firefox stránku zablokuje s odpovídajícím varováním.
Drobnou nevýhodou je skutečnost, že certifikáty musí být zakódovány přímo do Firefoxu. Nejnovější verze tedy podporuje stránky Mozilly a Twitteru. Budoucí vydaní prohlížeče mají podporovat také stránky Google, Tor, Dropbox a další.
Zdroj: PCWorld
Cílem této ochrany je zabránit útokům, které by byly podobné útoku z roku 2011. Tehdy došlo k tomu, že holandská certifikační autorita Diginotar byla buď hacknuta, nebo nějak jinak podvedena, a vydala validní certifikát SSL, který fungoval pro doménu Google. Následný útok byl pak směřován na uživatele služby Gmail.
Teoreticky to umožnilo útočníkům vytvořit falešnou stránku, která by vypadala stejně jako Gmail a internetový prohlížeč by nehlásil žádné bezpečnostní riziko vzhledem k validnímu certifikátu. To navíc není žádná novinka, protože bezpečností experti o riziku útoků na samotné certifikační autority hovořili již dříve.
Zmíněná ochrana „certificate pinning“ by takovému útoku dokázala zabránit, protože by Firefox věděl, že Diginotar takový certifikát vůbec neměl vydat.
A v tom spočívá tato novinka, kterou Mozilla implementovala do nového Firefoxu 32. Pokud bude certifikát odpovídat dostupné databázi, Firefox zobrazí standardní ikonku zámku signalizující zabezpečené spojení. Pokud by se jednalo o podvržený certifikát, Firefox stránku zablokuje s odpovídajícím varováním.
Drobnou nevýhodou je skutečnost, že certifikáty musí být zakódovány přímo do Firefoxu. Nejnovější verze tedy podporuje stránky Mozilly a Twitteru. Budoucí vydaní prohlížeče mají podporovat také stránky Google, Tor, Dropbox a další.
Zdroj: PCWorld
