di recente, Google ha scoperto che un’Autorità di certificazione (CA) ha emesso certificati forgiati per i domini di Google. Ciò compromette il dipendente da Fornito da Fornire la sicurezza dei livelli (TLS) e il sicuro HTTP (HTTPS), consentendo al titolare dei certificati forgiati di eseguire un attacco uomo-in-the-medio.
Per convalidare che il sito web che stai verificando è in realtà chi ha affermato che l’assicurazione richiede di essere, il tuo browser assicura che il certificato fornito dal server che stai accedendo sia stato firmato da una ca. Quando qualcuno richiede un certificato da una CA, devono confermare l’identità della persona che effettua la richiesta. Il tuo browser, così come il sistema operativo, ha un insieme di CAS di fiducia alla fine (chiamato CAS root). Se il certificato è stato rilasciato da uno, o una CA intermedia che si fidaranno, dipenderai dalla connessione. Tutta questa struttura di dipendere è chiamata catena di fiducia.
Con un certificato forgiato, è possibile persuadere un client che il tuo server è davvero . È possibile utilizzare questo per sedersi tra la connessione di un cliente e il server Google effettivo, intercettando la loro sessione.
In questo caso, una CA Intermediata ha fatto proprio questo. Questo è spaventoso, poiché mina la sicurezza che tutti noi dipendono da tutti i giorni per tutte le transazioni sicure su Internet. Il certificato Pinning è uno strumento che può essere utilizzato per resistere a questo tipo di attacco. Funziona associando una presa con un certo certificato. Se cambia, la connessione non sarà affidabile.
La natura centralizzata del TLS non funziona se non si può dipendere dalle autorità. Sfortunatamente, non possiamo.
0