Vertrauen im Internet: Vital, aber komplizierter denn je

Vertrauen im Internet: schwer zu ermitteln, viel einfacher zu untergraben.

Die Zertifizierungsstellen (Certificate Authorities, CA) stellen Zertifikate aus, die Verbindungen zu sicheren Websites verschlüsseln. Daher ist es der Schlüssel, den wir vertrauen. Das gilt besonders für EV-Zertifikate – diejenigen, die die Adressleiste in IE Green umstellen – denn sie sollen durch einen sichereren Prozess ausgegeben werden als üblich.

Das geht aber nicht immer gut. Im vergangenen Jahr hat Google angekündigt, dass die Zertifizierungsstelle von Symantec die Zertifikats-Transparenz für ihre EV-Zertifikate unterstützen würde, wenn sie ihre EV-Zertifikate nicht in das Zertifikat-Transparenzprotokoll einfügt, werden die Websites, die sie verwenden, als nicht vertrauenswürdig in Chrome markiert Zu Interstitials oder anderen Problemen bei der Verwendung in Google-Produkten führen “.

Das Unternehmen sagte, die meisten Windows-PCs sind “automatisch geschützt.”

Das kommt, nachdem Symantec mis-ausgestellt eine Reihe von Zertifikaten für Domains, die Google und Opera besitzen, um Menschen, die nicht Google und Opera waren.

Symantec sagte, dass es 23 Testzertifikate für fünf Domains ohne das Wissen des Domaininhabers herausgegeben hatte, Google fand mehr als das, und schließlich sagte Symantec, dass es falsch ausgestellt hatte, weitere 166 Zertifikate für 76 Domains (und 2.458 mehr für Domains, die noch niemals registriert waren) ). Es ist nicht nur Symantec: Chinesischen CA CNNIC im vergangenen Jahr wurde auch festgestellt, dass eine andere Firma, MCS Holdings, Zertifikate für seine eigenen Domains zu erteilen, MCS anscheinend legte den Schlüssel, den es für die in einem Netzwerk-Proxy, dass es als eine öffentliche behandelt Zertifizierungsstelle.

Warum ist all dieses Zeug wichtig? Man-in-the-Middle-Angriffe lassen Sie jemanden ändern, wo Sie am Ende, wenn Sie eine URL eingeben: Ihr Browser denkt, es spricht mit dem Server, den Sie für einen verschlüsselten Kanal gefragt, und der Server denkt, es ist mit Ihrem Browser sprechen, aber Sie sprechen beide mit einem Angreifer, der in der Mitte der Verbindung sitzt und jeder Seite sagt, was sie hören möchte.

Angreifer können Sie auf ein Konto, das nicht Ihre Bank, oder tauschen Sie Anzeigen auf der Seite, die Sie besuchen für böswillige Tracker – oder nur eine andere Reihe von Anzeigen, die Lenovo wollte mit einigen seiner Laptops vor kurzem zu tun.

Schädliche Man-in-the-Middle-Angriffe mit einem Zertifikat, das nicht aus einer bekannten und vertrauenswürdigen CA kommt, wird sofort von den meisten Browsern gefangen, weshalb Google die Symantec-Jump über zusätzliche Reifen auffordert, einen definitiven Mangel an Vertrauen zeigt.

Es gibt legitime Gründe für ähnliche Praktiken. Verwalten, wie Domänen verhalten sich in Ihrem eigenen Netzwerk ist, warum ein Netzwerk-Proxy “Mann in der Mitte” -Verknüpfung ist etwas, was ein Unternehmen vielleicht tun möchten, ohne jede böswillige Absicht. Sie möchten sie in einer Netzwerk-Sicherheits-Appliance, so können Sie die Domänen, die Ransomware und andere Malware versucht, eine Verbindung herzustellen, um herauszufinden, was es tut, ohne dass Ihre Testsysteme gefährdet ist gefälschte.

Bluecoat tut dies in seiner ProxySG Secure Web Gateway, mit einem Feature namens Encrypted Tap, die es heißt, wird “Filter Web-Verkehr, die Nutzung der Cloud-Anwendung identifizieren, bieten Datenverlust Prävention, liefern Bedrohung Prävention und gewährleisten Sichtbarkeit in verschlüsselten Verkehr”.

Auf diese Weise können Sie sogar verschlüsselte Zugriffe überprüfen und archivieren, die Sie für das Finden von Angriffen und Spotting von Daten benötigen, die aus Ihren Systemen entweichen, die von den Bösewichten oder bösartigen Mitarbeitern verschlüsselt wurden.

Google Stiefel Chinas wichtigste digitale Zertifizierungsstelle CNNIC, Will Let’s Encrypt bedrohen kommerzielle Zertifizierungsstellen ?, Microsoft bootet 20 Zertifikate von Trusted Root Certificate Program

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter

Aber müssen die Zertifizierungsstellen besser entscheiden, welche Zertifikate an wen ausgegeben werden sollen?

Ich fragte Matthew Prince, den CEO von CloudFlare, einen Dienst, der als Content Delivery Network mit DDoS-Schutz begann, aber hat sich in DNS-und Sicherheitsdienste verzweigt.

Das Problem ist, dass die Zertifizierungsstellen versuchen, zwei Dinge gleichzeitig zu tun: Sie versuchen Identität zu etablieren und eine Verschlüsselung einzurichten “, erklärte er mir,” wenn Sie das System jetzt entwarfen, schlug er vor, Mehr leichten Weg, um die Verschlüsselung zu etablieren und halten Sie die Identität Teil auf die Seite. Die Tatsache, dass sie Identität als gut behandeln, dass Verwirren macht es schwierig Problem.

Er verglich es mit der Situation mit Let’s Encrypt, einem Dienst, der CloudFlare-Technologie verwendet, um kostenlose Verschlüsselungszertifikate anzubieten, um alle Websites zu ermutigen, Ihnen eine sichere Verbindung zu bieten. “Was sie sagen, ist, dass wir es super einfach haben, Verschlüsselungszertifikate zu erhalten, natürlich werden böse Jungs das nutzen und es ist ein gutes Netz, dass wir Certs viel leichter und erschwinglicher für alle Kunden bereitstellen können.”

Er stellt auch fest, dass, wenn ein PayPal-Phisher ein Let’s Encrypt-Zertifikat verwendet, es einfach ist, das zurückzuziehen – was Sie nicht tun konnten, wenn sie das Zertifikat auf ihrer eigenen Infrastruktur erstellt hatten.

“Ein Teil des Problems besteht darin, dass der Widerrufsvorgang für Zertifikate so gebrochen ist”, fügt er hinzu: OS-Provider und Browser müssen den Widerruf behandeln und können es nicht zu einfach machen, oder sie werden verwendet, um jemanden anzugreifen.

Zunehmend sind es nicht die traditionellen Zertifizierungsstellen wie Symantec, die das letzte Wort mit Zertifikaten haben, Anbieter wie CloudFlare und Browser-Unternehmen wie Google sind zunehmend auch im Vertrauensmanagement aktiv.

Was wir noch nicht haben ist eine einfache Möglichkeit für die Benutzer zu verstehen, was passiert.

Sicherheit

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer