В браузере Firefox 32 разработчики реализовали очень важную функцию прикрепления публичных ключей (public key pinning) для проверки достоверности цифровых сертификатов сторонних сайтов. С помощью этой функции владельцы сайтов могут принудительно указать, какой конкретно цифровой сертификат от какого центра сертификации они разрешают использовать для установки безопасного соединения.

002

Проблема достоверности цифровых сертификатов особенно остро встала в последние годы, в том числе в результате намеренного проведения MiTM-атак по заказу национальных правительств нескольких стран. Подмену сертификатов сложно обнаружить на стороне сервера. Фактически, не существует полностью надёжного способа сделать такую проверку. Правительство просто заставляет центр сертификации выпустить новый сертификат, который принимается браузерами как настоящий.

Например, последним инцидентом в этой области стало появление нескольких поддельных цифровых сертификатов на домены Google, выданных Национальным центром сертификации (NIC) Индии в июне-июле 2014 года. Сертификаты NIC Индии входят в каталог Indian Controller of Certifying Authorities (India CCA), который является частью корневого каталога Microsoft Root Store. Поэтому, к сожалению, фальшивые сертификаты принимались в большом количестве программ под Windows, включая браузеры.

Для браузера Chrome несколько лет назад компания Google активировала функцию прикрепления публичных ключей, но только для своих собственные доменов, поэтому «атаку» NIC India быстро обнаружили.

Mozilla подошла к вопросу более фундаментально и хочет защитить не только свои, но и другие домены. Организация объявила, что собирается внедрить в Firefox поддержку расширения Public Key Pinning Extension for HTTP. Это изменение уже анонсировано в баг-трекере.

7 комментариев

  1. 28.08.2014 at 13:12

    Заголовок: «В Firefox 32 реализовали прикрепление публичных ключей»
    Текст статьи: «Организация объявила, что собирается внедрить в Firefox поддержку расширения Public Key Pinning Extension for HTTP.»
    Уважаемые, не вводите пользователей в заблуждение!
    Процесс не есть результат.

  2. 28.08.2014 at 14:20

    А пошто у хакера RSS перестал работать?

  3. 28.08.2014 at 17:50

    Функцию давно жду, но первым делом надо было на йух выкинуть корневые сертификаты всех государственных организаций и прикрепить их сертификаты к их сайтам.

    • 28.08.2014 at 17:56

      возможно анб уже разработало софт для перехвата в самом начале и подсовывания левого сертификата и дало отмашку «можно внедрять, мы готовы».

      Также непонятно, когда это появится в stable.

      Ещё необходимо сделать механизм синхронизации сертификатов, на случай если анб или фсб или ghcq изначально подсунет левый.

      И ещё вопрос, что делать, если у сайта сертификат поменяется из-за того, что сопрут приватный ключ, например в ходе маски-шок

  4. 28.08.2014 at 18:00

    Дерьмово. Прикрепляют центр сертификации, а не сам публичный ключ. А если гебня попросит тот ЦС, что указан в сертификате, выпустить фальшивку?

  5. 28.08.2014 at 20:13

    Огнелис лучший !

Оставить мнение