it-swarm-id.com

Mengapa memalsukan sertifikat SSL sulit?

Dalam berita yang berasal dari Iran, Anda mendengar bahwa Iran telah berhasil membuat sertifikat ssl palsu, sehingga mereka dapat menemukan kredensial akun gmail orang.

Beberapa analis mengatakan ini mungkin tetapi sulit, saya bertanya-tanya mengapa ini sulit, di mana letak kesulitannya, mengapa ISP Anda tidak dapat melakukan itu kepada Anda?

23
user893730

Biarkan saya jelaskan melalui contoh praktis.

Ada satu set Otoritas Sertifikat (CA) yang dipercayai oleh peramban. Anda dapat melihat daftar CA tepercaya di browser Anda. Untuk misalnya. CA yang dipercaya oleh Chrome dapat ditemukan di "Menu Kunci Inggris> Preferensi> Di Balik Terpal> HTTPS/SSL (Kelola Sertifikat)> tab Otoritas".

Jadi, sertifikat yang disajikan mail.google.com ke browser Anda 'ditandatangani' oleh Thawte SGC CA. CA ini secara implisit dipercaya oleh browser. CA ini akan mengeluarkan sertifikat hanya setelah verifikasi menyeluruh (dan manual).

Anda dan saya tidak dapat menipu Thawte atau Verisign untuk menandatangani kami dengan sertifikat palsu untuk google. Meskipun kasus seperti itu terjadi tetapi jarang dan sebagian besar membutuhkan bantuan orang dalam.

Sekarang, di komputer Anda sendiri, Anda dapat melanjutkan dan membuat sertifikat menyatakannya dari google.com. Tetapi sertifikat ini 'ditandatangani sendiri' dan tidak akan dipercaya oleh browser karena CA (Anda) tidak ada dalam daftar sertifikat tepercaya. Dalam hal ini, browser akan menampilkan peringatan sertifikat.

Jadi, sekarang untuk menjawab pertanyaan Anda, ada beberapa cara di mana sertifikat palsu dibuat (atau dibuat berfungsi):

  • Seperti yang saya sebutkan di atas, seseorang dapat menipu CA (yang dipercaya oleh browser) untuk mengeluarkan Anda sertifikat untuk situs yang bukan milik Anda. Karena alasan ini, orang sering secara manual menghapus CA tepercaya dari daftar mereka. Tuhan tahu prosedur apa yang diikuti CA di negara yang tidak pernah didengar itu. Saya telah melihat orang-orang paranoid menghapus CA dari daftar tepercaya browser.

  • CA akan diretas (atau dibuat untuk mengeluarkan sertifikat palsu). Dalam kasus seperti it Anda dapat menerbitkan sertifikat sesuka Anda. Belum lagi, CA semacam itu segera keluar dari bisnis setelah ini ditemukan.

  • Anda juga dapat memiliki sertifikat "ditandatangani sendiri" palsu dari google.com dan masih bisa melewati pemeriksaan keamanan browser jika Anda secara eksplisit menambahkan CA Anda sendiri ke daftar tepercaya browser. Perusahaan dapat melakukannya. Saya telah melihat (dan bekerja di) perusahaan di mana mereka secara terbuka melakukannya karena "alasan kepatuhan". Karena mesin desktop Anda berada dalam kendali mereka, mereka memasang CA mereka sendiri ke toko tepercaya browser Anda dan menghadirkan sertifikat gmail palsu ke browser - yang dipercayai oleh browser dan mereka dengan senang hati menyadap SEMUA percakapan/email Anda.

Dalam semua kasus - apa yang Anda dapatkan dengan memalsukan sertifikat: Anda dapat MITM (Manusia di tengah) server dan komputer pengguna dan mendekripsi sesi SSL.

Saya telah meninggalkan banyak nuansa penciptaan sertifikat dalam uraian saya di atas untuk menyajikan gambaran luas. Anda dapat membaca tentang Patrol Cert dan perspektif untuk melihat bagaimana Anda dapat mencegah korban jatuh sertifikat palsu bahkan jika CA-nya ada dalam daftar tepercaya peramban.

Anda juga dapat membaca tentang penyematan sertifikat yang dapat membantu mencegah pembajakan sertifikat tersebut.

24
CodeExpress

Secara teknis tidak sulit membuat sertifikat SSL untuk apa pun yang Anda inginkan; bagian itu sepele.

Bagian tersulitnya adalah Anda memerlukannya ditandatangani oleh, atau ditandatangani oleh sesuatu yang disahkan dan ditandatangani oleh, salah satu dari kumpulan sertifikat root tepercaya yang, misalnya, berisi peramban web Anda.

Itu milik berbagai otoritas sertifikat, dan dilindungi oleh otentikasi kriptografi yang kuat yang berarti bahwa secara komputasi tidak praktis bagi seseorang untuk membuat sertifikat yang akan dipercaya oleh browser Anda tanpa akses ke bahan rahasia, otoritas sertifikat melindungi.

Jadi, triknya bukan membuat sertifikat, itu membuat seseorang mempercayainya.

7
Daniel Pittman

Juga, Anda dapat melihat artikel tentang Digi Notar, ada keributan tahun lalu setelah mereka melanggar dan membagikan sertifikat palsu. Masalahnya adalah, komputer dibangun untuk mempercayai sertifikat oleh CA yang berkualifikasi, jadi jika Anda bisa mendapatkan sertifikat, sulit memastikan bahwa setiap komputer di seluruh dunia melihat bahwa itu dicabut.

http://en.wikipedia.org/wiki/DigiNotar

2
Robert