Bezpečnost SSL certifikátů

Pro zabezpečení komunikace webových stránek se běžně používají SSL certifikáty. Říkají nám, na jaké stránce jsme, kdo stránku provozuje a jaká certifikační autorita toto ověřila a zaručuje se za to. Je to ale opravdu tak? Poskytují nám opravdu bezpečnost, kterou slibují? Jak říká Electronic Frontier Foundation (EFF), systém certifikátů a certifikačních autorit má řadu systémových problémů.

Tak třeba pro ilustraci… prohlížeče a operační systémy v sobě mají uložené certifikační autority, jejichž certifikátům pak automaticky důvěřují. Kolik si myslíte, že je těchto uložených certifikačních autorit? Deset, padesát, sto? Dle průzkumu EFF jsou jich stovky až tisíce! Navíc to jsou většinou neznámé organizace a firmy z různých zemí, o nichž jste pravděpodobně nikdy neslyšeli. Přesto jim a jejich certifikátům máte důvěřovat. Jak EFF uvádí, jen od června 2011 byly čtyři z těchto certifikačních autorit prokazatelně napadeny a byla kompromitována jejich bezpečnost, včetně případů vydání falešných certifikátů. Přidejme k tomu ještě několik popsaných možností útoků na certifikáty, např. kradením nešifrovaných cookies či využíváním nedostatčné implementace řetězu důvěry.

Je pak s podivem, že poskytovatelé služeb odmítají, vymlouvají se či se dokonce brání používání dalších bezpečnostních metod, které jsou k dispozici. I když se jedná o metody, které jsou na světě dlouho a nejsou nijak složité na zavedení. Ano, řeč je o zabezpečení domén pomocí DNSSEC; stále je zabezpečeno pouze necelých 20 % domén .cz a mezi nejpoužívanějšími a nejdůležitějšími službami na českém internetu byste ty se zabezpečenou doménou spočítali na prstech jedné ruky. Jistě, žádná z konkrétních metod není samospasitelná a nevyřeší problém bezpečnosti sama a jednou pro vždy. V kombinaci s ostatními dohromady se ale bezpečnost zvyšuje a nenechávají se otevřená nějaká zadní vrátka. Ostatně v tomto smyslu chápe DNSSEC třeba právě i dříve zmiňovaná EFF, viz následující video.

PT

Autor:

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.