πρόσφατα, η Google διαπίστωσε ότι μια αρχή πιστοποιητικού (CA) που εκδίδεται πλαστά πιστοποιητικά για τους τομείς της Google. Αυτό συμβιβάζεται ότι εξαρτάται από την παρεχόμενη από την παράδοση της ασφάλειας στρώσεων (TLS) καθώς και ασφαλή HTTP (HTTPS), επιτρέποντας την κάτοχο των πλαστών πιστοποιητικών να κάνει μια ανθρωπογενή επίθεση.
Για να επικυρώσετε ότι ο ιστότοπος που ελέγχετε είναι πραγματικά ποιος ασφάλιση αξίζει να είναι, το πρόγραμμα περιήγησής σας εξασφαλίζει ότι το πιστοποιητικό που παρέχεται από το διακομιστή που έχετε πρόσβαση υπογράφηκε από ένα αξιόπιστο CA. Όταν κάποιος ζητά πιστοποιητικό από μια ΑΠ, πρέπει να επιβεβαιώσουν την ταυτότητα του ατόμου που υποβάλλει το αίτημα. Το πρόγραμμα περιήγησής σας, καθώς και το λειτουργικό σύστημα, διαθέτουν ένα σύνολο τελικά εμπιστοσύνης CAS (που ονομάζεται ρίζα CAS). Εάν το πιστοποιητικό εκδόθηκε από ένα από αυτά ή ένα ενδιάμεσο ca που εμπιστεύονται, θα εξαρτηθεί από τη σύνδεση. Αυτή η όλη δομή εξαρτάται από την ονομασία αλυσίδας εμπιστοσύνης.
Με ένα πλαστό πιστοποιητικό, μπορείτε να πείσετε έναν πελάτη ότι ο διακομιστής σας είναι πραγματικά . Μπορείτε να το χρησιμοποιήσετε για να καθίσετε μεταξύ σύνδεσης ενός πελάτη καθώς και τον πραγματικό διακομιστή Google, να παραλείπουν τη συνεδρία τους.
Σε αυτή την περίπτωση, ένα ενδιάμεσο ca έκανε ακριβώς αυτό. Αυτό είναι τρομακτικό, καθώς υπονομεύει την ασφάλεια ότι όλοι μας εξαρτώνται από την καθημερινή για όλες τις ασφαλείς συναλλαγές στο διαδίκτυο. Το πιστοποιητικό Pinning είναι ένα εργαλείο που μπορεί να χρησιμοποιηθεί για να αντέξει αυτό το είδος επίθεσης. Λειτουργεί με τη συσχέτιση μιας συμμετοχής με ένα συγκεκριμένο πιστοποιητικό. Εάν αλλάξει, η σύνδεση δεν θα εμπιστευτεί.
Η κεντρική φύση του TLS δεν λειτουργεί αν δεν μπορείτε να εξαρτάτε από τις αρχές. Δυστυχώς, δεν μπορούμε.