Protección contra certificados deshonestos

6

Recientemente se han recibido muchas noticias sobre certificados emitidos falsamente (debido a que la autoridad emisora tiene poca seguridad del sistema). Al parecer, los usuarios apuntados eran en su mayoría iraníes, pero no es difícil imaginar que esto le suceda a alguien.

Mi navegador viene precargado con cientos de certificados. ¿Hay alguna manera de protegerse contra certificados deshonestos?

Nota: Me doy cuenta de que se trata más de un problema de "seguridad" que de "criptografía", así que siéntase libre de discutir este tipo de preguntas en los comentarios si cree que está fuera de lugar. Límites para este foro.

    
pregunta Fixee 19.09.2011 - 19:31
fuente

3 respuestas

6

Bueno, el SSL se basa en el hecho de que usted "confía" en la parte que emite el certificado, y la configuración actual es que cualquier AC puede emitir un certificado para cualquier dominio. Ha habido proyectos que intentan implementar la infraestructura Web of Trust para los certificados SSL, en los que la comunidad confirma la autenticidad del certificado. Pero aún así, tienes que confiar en la comunidad.

Por ejemplo, existe el proyecto Perspectives . Es una extensión de Firefox que te permite elegir un 'servidor de notario' que verifica si el certificado presentado es el mismo certificado que ven otros usuarios (para detectar el ataque Man-In-The-Middle).

También hay un nuevo proyecto llamado Convergence.io realizado por Moxie Marlinspike se basa en las ideas de Perpectives pero permite una configuración detallada. Actualmente es el mejor y parece ganar rápidamente atención. Recomiendo instalar Convergence.io.

    
respondido por el Krzysztof Kotowicz 19.09.2011 - 23:07
fuente
4

He visto un par de métodos que pueden usarse para ayudar a proteger contra certificados deshonestos.

Cert Patrol es un complemento de Firefox que notifica al usuario cuando se aceptan certificados previamente. cambio.

Convergence es más una alternativa al sistema de CA tradicional.

También Google codifica los certificados legítimos de sus servicios en Chrome, lo que podría ayudar con ese escenario específico, pero no es una solución para el caso más amplio.

Otra idea que he visto sugerida, pero que aún no se ha implementado, sería tener varias firmas en un certificado, por lo que, por ejemplo, obtener 3 CA para firmar un certificado dado (aunque usted pensaría que esto necesitaría algún navegador). integración por lo que aceptaría que uno y no un único certificado firmado para el mismo dominio). Eso realmente no aborda la causa raíz, pero podría ayudar a reducir la probabilidad de un solo compromiso de CA que permita una violación completa de la configuración de confianza de SSL.

    
respondido por el Rоry McCune 19.09.2011 - 22:57
fuente
3

@JeffFerland escribió esta publicación del blog sobre el tema "Arreglar el problema de la Autoridad de certificación", y además de la respuesta que @RoryMcCune dio aquí, él y @nealmcb también brindaron una excelente información sobre el tema respondiendo esta pregunta.

    
respondido por el Rory Alsop 19.09.2011 - 23:04
fuente

Lea otras preguntas en las etiquetas