, Google stwierdzono, że Urząd certyfikacji (CA) wydał sfałszowane certyfikaty dla domen Google. Kompromisuje to zależne od dostarczonego przez zapewnienie bezpieczeństwa warstwy (TLS), a także bezpieczne HTTP (HTTPS), umożliwiając posiadaczowi sfałszowanych certyfikatów wykonania ataku człowieka w środku.
Aby zatwierdzić, że witryna sieciowa, którą sprawdzasz, jest naprawdę tym, komu zgłoszeni twierdzą, twoja przeglądarka zapewnia, że certyfikat dostarczony przez serwer, który uznasz, został podpisany przez zaufanego ok. Kiedy ktoś prosi certyfikatu z CA, muszą potwierdzić tożsamość osoby dokonującej wniosku. Twoja przeglądarka, a także system operacyjny, zbiór ostatecznie zaufał CAS (zwany root CAS). Jeśli certyfikat został wydany przez jednego z nich lub pośredni, że ufają, będziesz zależeć od połączenia. Ta cała struktura zależna od jest nazywana łańcuchem zaufania.
Dzięki kutym certyfikacie można przekonać klienta, który serwer jest naprawdę . Możesz wykorzystać to do siedzenia między połączeniem klienta, a także rzeczywisty program Google Server, podsłuchiwanie sesji.
W takim przypadku pośrednie CA zrobił właśnie to. Jest to straszne, ponieważ podważa bezpieczeństwo, że wszyscy z nas zależą od codziennego dla wszystkich bezpiecznych transakcji w Internecie. Certyfikat przypinający to jedno narzędzie, które można wykorzystać do wytrzymania tego typu ataku. Działa poprzez powiązanie posiadania pewnego certyfikatu. Jeśli się zmienia, połączenie nie zostanie zaufane.
Scentralizowany charakter TLS nie działa, jeśli nie możesz zależeć od władz. Niestety nie możemy.
0