SSL certifikáty se využívají pro šifrování komunikace a ověření integrity druhé strany, s níž je daný uživatel v interakci. Jejich silná stránka je v délce využívaných privátních podepisovacích klíčů.
Klíče, které mají méně než 1024 bitů, jsou považovány za slabé, a 512- a 768bitové klíče byly rozšifrovány a došlo k odhalení privátního klíče. Google používá 1024bitové klíče, nicméně podle Stephena McHenryho, ředitele technologií informační bezpečnosti Googlu, začne firma nově používat klíče o dvojnásobné délce.
„Na nové, 2048bitové certifikáty začneme přecházet 1. srpna [2013], abychom zajistili dostatečný čas pro postupné rozšíření do konce roku,“ napsal McHenry. „Změníme také kořenový certifikát, které podepisuje všechny naše SSL certifikáty, protože ten má 1024bitový klíč.“
McHenry varuje, že přestože většina klientského softwaru nebude mít se změnou žádné problémy, mohl by se přechod zkomplikovat u klientského softwaru integrovaného v některých telefonech, tiskárnách, set-top boxech, herních konzolích a fotoaparátech.
Napsal, že zařízení, které provádějí SSL připojení u Googlu budou muset podporovat normální validaci řetězce certifikátu, udržovat široký soubor kořenových certifikátů a podporovat také Subject Alternative Names (SAN), které SSL certifikátu umožňují, aby potvrdil platnost několika hostitelů.
Krok Googlu je rozumný, ale SSL má i další slabiny.
Stovky organizací na světě mohou vydávat SSL certifikáty, které jsou svázány s takzvanou certifikační autoritou (Certificate Authority). Tyto organizace, známé jako prostředníci (zprostředkovatelé), bývají cíli hackerů. Vytvoření podvodného SSL certifikátu může vytvořit dojem, že navštěvujete legitimní web, který je ale ve skutečnosti webem podvodným.
Google byl obětí takového útoku v roce 2011, kdyb byla napadena certifikační autorita jménem DigiNotar. Hackeři vytvořili minimálně 500 podvodných SSL certifikátů, a to včetně jednoho, který byl využit k nezdařenému pokusu o man-in-the-middle útoky proti uživatelům Gmailu v Íránu.
V roce 2009 vytvořil bezpečnostní expert pod pseudonymem Moxie Marlinspike nástroj zvaný SSLstrip, který útočníkovi umožňuje přerušit a zastavit SSL připojení, přestože existuje záplata, která takový úrok blokuje. Útočníci mohou za pomoci tohoto nástroje špehovat jakákoliv data, která zašlete na falešnou webovou stránku.
Zdroj: IDG News Service
PŘEDPLATNÉ
ČLÁNKY DO MAILU