Teknik beskytter mod falske certifikater

Artiklen blev oprindeligt publiceret den 1/6/2012

Et standardforslag forsøger at løse problemet med webservercertifikater, der er udstedt af udbydere, som ikke har ret til at udstede dem.

Problemet opstår, når hackere får adgang til systemerne hos en CA (certifikat-autoritet). En CA udsteder de certifikater, som bruges i krypteret kommunikation med SSL (Secure Sockets Layer) eller TLS (Transport Layer Security). Hvis en hacker får adgang, kan han udstede certifikater på vegne af kendte firmaer som for eksempel Google og Microsoft. Browsere vil tro på certifikaterne, fordi de er udstedt af en godkendt CA.

Sikkerhedsforskerne Moxie Marlinspike og Trevor Perrin står bag teknologien TACK (Trust Assertions for Certificate Keys), som nu er indleveret som forslag til standard til IETF (Internet Engineering Task Force).

TACK lader et websted fortælle, hvilke CA'er der har ret til at udstede certifikater på dets vegne. På den måde kan browser lade være med at stole på et certifikat, selvom det kommer fra en godkendt CA, hvis TACK-informationen siger, at den CA ikke har lov til at udstede certifikater til domænet. Det skriver Computerworld US.

Teknologien er lavet som en udvidelse til TLS-standarden, der er afløseren for SSL.

Links