Специалисты по ИТ-безопасности Тревор Перрен (Trevor Perrin) и Мокси Мерлинспайк (Moxie Marlinspike) создали способ определения поддельных SSL-сертификатов. Для этого было разработано расширение протокола Transport Layer Security (TLS) и специальное приложение TACK (Trust Assertions for Certificate Keys). Сейчас этот протокол и это приложение изучает Инженерный совет Интернета (Internet Engineering Task Force, IETF) – структура, которая занимается развитием протоколов и архитектуры Интернета.
Приложение TACK позволяет владельцу домена генерировать пару закрытого и открытого ключей – так называемых TACK-ключами. Закрытый ключ используется для подписи открытого TLS-ключа сервера. Открытый TACK-ключ отправляется браузеру и используется для проверки подлинности TLS-ключа, подписанного с помощью TACK.
Иногда браузер может привязать открытый TACK-ключ, полученный от сервера, к доменному имени. При попытке осуществить подмену SSL-сертификата, проверка подлинности сертификата завершится неудачей и атака осуществлена не будет.
Напомним, что в прошлом году было известно несколько случаев подмены SSL-сертификатов, в частности, из центров сертификации Comodo и Diginotar.
В 2011 году специалисты компании Google предложили использовать HTTP-расширение под названием «public key pinning», которое позволит веб-сайтам через заголовок HTTP передавать браузеру достоверную информацию о SSL-сертификате доменного имени и центре, его выдавшем.
Оставить комментарий