SSL-сертификаты

ssl

SSL-сертификаты. Что это такое ? зачем это нужно?

В начале марта, а точнее 15 числа месяца завершилась удачей и победой попытка взлома корневого центра компании Comodo, в ходе чего хакеры приобрели доступы к SSL-сертификатам масштабных фирм как Google, Microsoft, Skype и др. Как выяснилось для клиентов этих ресурсов ничего глобального не произошло, хотя данная ситуация такова, что насколько бы ни казалась надёжной защита данных, как показала данная ситуация со взломом всегда есть ходы, чтобы её взломать.

Вы наверняка помните, как под новой учетной записью были сделаны фальшивки страниц www.google.com,mail.google.commail.yahoo.comlogin.skype.comlogin.live.com. Для того что бы разобраться в этом вопросе лучше, какова причина такого взлома и  в какой степени это могло бы угрожать юзерам, надо ориентироваться в принципе усиления SSL-сертификатов.

ssl
ssl

Допустим то, что многим известно, как преобразованием доменного имени, какое usег вводит в адресной строчке браузера, в IP-адрес, которого будет показан в TCP/IP-пакетах, эту функцию выполняют DNS-сервера(Domain name system). Подобным ролью, у появляется желание проверить силы и знания и открыть DNS-сервер провайдера так, чтобы, пример, при запросе браузером юзера IP-адреса paypal.com отзывался бы не текущий адрес сервера огромнейшей в мире электронной платёжной системы Paypal, а IP-адрес фишингового интернет-сайта, этот сайт к крал учётные данные пользователей системы.

Для предотвращения этой ситуации используются SSL-сертификаты, они сообщают о подлинности сайта, работы по данному протоколу HTTPS, он не только отвечает за получение сертификата, но и обеспечивает шифрование передаваемых данных.

Начнем с истоков. SSL Протокол (Secure Sockets Layer) был создан корпорацией Netscape и запуск данного продукта начался с версии 2.0 в феврале 1995 года (версия 1.0 публично не выпускалась). В следствии огромного количества недоработок в скором времени , а именно в 1996 г., вбыла выпущена SSL версии 3.0, а на основание её в в конце девяностых изобретен TLS протокол (Transport Layer Security), в настоящее время применяется в мировой сети интернета. Отметим, что различия между TLS протоколом и SSL 3.0 не большие, хотя протокол TLS до сих пор используют термин SSL.

В чем же механизм защиты домена от подделывания? Хозяин интернет ресурса получает в специализированном центре сертификации SSL сертификат ( цена услуги составляет примерно 80 $ но цена может доходить до1000 $ , цена указана за год), а также публичный и приватный ключи для шифрования информации. При первичном обращении к порталу по протоколу HTTPS браузер приобретает SSL-сертификат и общественный ключ, каким он был подписан. Перечни уполномоченных середин сертификации с их ключами имеется в любом браузере, и ключ, какой приобретает браузер, обязан совпадать с подходящим ключом в данном перечне. Если браузер удостоверяется, что произведенный сертификат выдан уполномоченным центром сертификации, то дальше продолжается нормальная работа, в неприятном же случае — если usег попал на фишинговый интернет-сайт, ему будет выдано соответствующее сообщение.

Подведем итоги, из выше перечисленного напрашивается следующие выводы, что для перехвата трафика, какой идёт от юзера к интересному взломщиков веб-сайту, работающему по HTTPS протоколу, нужно не только открыть DNS, но и заполучить достоверный сертификат SSL для этого интернет-сайта, дабы браузер не выдавал никаких тревожных сообщений. Как заявили агенты компании Comodo, центр сертификатов которой был взломан, хакеры находились в Иране. Если это правда, и, принимаю во внимание , что злодеями были получены сертификаты для таковых коммуникационных сервисов, как mail.google.com, mail.yahoo.com, login.skype.com, login.live.com, то допустим, что мишенью были совсем не средства юзеров, а их корреспонденция. И работали хакеры по заданию правительства Ирана, которое желало перехватить известия оппозиционно настроенных людей.
Принимая во внимание, что веб доступ в Иране в полной мере контролируется властями, то менять записи у DNS-провайдеров для необходимых для их целей доменов не составило бы труда (а точнее не получило бы такой широкой огласки), и логины-пароли иранских юзеров от их почты в gmail и аккаунтов в Skype иранское руководство вполне могло бы заполучить без взлома . Хотя, так как в Comodo вовремя приметили факт взлома, то задумка эта, кто бы за ней ни стоял, не получилась.
Заметим , невзирая на случившийся взлом, система сертификатов SSL подтвердила собственную надёжность, т.к. мало открыть только сервер, надо еще утаить следы взлома, что вовсе непросто. После этого, как о взломе стало известно, SSL-сертификаты элементарно обмениваются с центром сертификатов на получение новых ключей , и в чем главный плюс такого обмена , что взломщики не добивают установленных цельй .ssl

Непременно многие из вас сталкивались с тем, что переходя на серьёзные сайты, работающие по протоколу HTTPS , вы получали от браузера Firefox сообщения с такой формулировкой «site.ru использует недействительный сертификат безопасности. К сертификату нет доверия, так как сертификат его издателя неизвестен», и дальше предполагается нажать или на «Уходим отсюда», или на «Я понимаю возможность» и «Добавить исключение…».

В чем причина данных сообщений? Сервер использует эти самоподписанные SSL-сертификаты, их цель шифрование трафика, но они не предназначены для идентификации домена. Причина в том что хозяин интернет сайта самостоятельно создаёт сертификат, поэтому браузер не имеет понятие что его нет в списках доверенных сертификационных центров , по этому и приходит сообщение что «сертификат его издателя неизвестен».

Принимая во внимание, случаи того как многие уже не раз с этим сообщением сталкивались и привыкли уже нажимать на “Я понимаю риск”, то для хакеров возникает желание взломать DNS для соответствующих сайтов, а на подложном интернет сайте, куда будет перенаправляться трафик, снова восоздать самоподписанный сертификат, чтобы пользователь по привычке нажал «Я понимаю риск».

ssl
ssl

Сейчас чуть-чуть подробнее о причинах служба по протоколу HTTPS с проверенными, приобретенными у уполномоченных центров сертификации SSL-сертификатами не используется на каждом веб сайте. И так , не на всех ресурсах есть такая потребность , они не используют регистрацию на веб-сайтах, и все же, где она нужна , не интересна сторонним лицам.

И еще, сертификаты SSL платны. Следующий нюанс , канал шифровки и расшифровки загружает трафик, так как это не происходит самостоятельно, эта задача занимает место на сервере, что означает что на него вырастает нагрузка.. Применения шифрование повышается объёмы передаваемых данных, что означает загрузку каналов. Но, наибольшая проблема возникает с HTTPS, он рассчитан на то, что бы интернет-сайт размещался в рамках назначенного IP-адреса, на сегодняшний период одним из удобных вариантов расположение на хостингах виртуально, когда множество интернет сайтов располагаются на едином IP. Что бы решить этот вопрос необходимо разработать расширение к протоколу TLS, но к сожалению этот вопрос только ищет решение.

Author: admin