תעודות בטיחות של Google
לאחרונה, גוגל מצא כי רשות אישור (CA) אישורים מזויפים עבור דומיינים של Google. זה פשרות את תלוי מסופק על ידי אספקת שכבת בטיחות (TLS), כמו גם http בטוח (https), המאפשר מחזיק של אישורים מזויפים לעשות אדם- in-the- באמצע ההתקפה.
כדי לאמת את אתר האינטרנט שאתה בודק הוא באמת מי הם תביעת ביטוח להיות, הדפדפן שלך מוודא שהאישור שסופק על ידי השרת שבו אתה ניגש לחתום על ידי CA. כאשר מישהו מבקש תעודה מ CA, הם חייבים לאשר את זהותו של האדם עושה את הבקשה. הדפדפן שלך, כמו גם מערכת ההפעלה, יש קבוצה של בסופו של דבר מהימן CAS (שנקרא שורש CAS). אם האישור הונפק על ידי אחד מהם, או ביניים CA שהם בוטחים, תוכלו תלוי בקשר. כל מבנה שלם של תלוי נקרא שרשרת של אמון.
עם אישור מזויף, אתה יכול לשכנע לקוח כי השרת שלך הוא באמת http://www.google.com. אתה יכול לנצל את זה לשבת בין החיבור של הלקוח, כמו גם את שרת Google בפועל, האזנות את הפגישה שלהם.
במקרה זה, CA ביניים עשה בדיוק את זה. זה מפחיד, שכן הוא מערער את הבטיחות שכולנו תלויים בכל יום לכל עסקאות בטוח באינטרנט. תעודת הצמדה היא כלי אחד שניתן לנצל כדי לעמוד בסוג זה של התקפה. זה עובד על ידי שיוך אחיזה עם אישור מסוים. אם היא משתנה, החיבור לא יטמיך.
אופי מרכזי של TLS לא עובד אם אתה לא יכול לסמוך על הרשויות. למרבה הצער, אנחנו לא יכולים.