Certificate Reputation to mechanizm stworzony przez Microsoft mający na celu zwiększenie ochrony przed atakami z wykorzystaniem fałszywych certyfikatów SSL, które w konsekwencji mogą prowadzić do utraty osobistych danych.
Sprawdźmy jakie są główne cechy tego mechanizmu i jak można wykorzystać go do zwiększenia ochrony własnej strony.
Reputacja certyfikatu
Mechanizm Certificate Reputation (CR) został zaprezentowany przez Microsoft już na początku marca 2014 roku. Powstał on w zgodzie z trzema głównymi założeniami:
- ochrona użytkowników przez fałszywymi certyfikatami bez ingerencji w ich działania i bez blokowania dostępu do właściwych treści,
- niewymagający wielu zmian i pozwalający na łatwe zastosowanie,
- zachowanie prywatności właścicieli domen.
Jego działanie polega na zbieraniu informacji o certyfikatach i wykrywaniu wszelkich anomalii. Dane zbierane są podczas weryfikacji certyfikatu SSL momencie, gdy przeglądamy daną stronę korzystając z przeglądarki Internet Explorer 11. Microsoft zapewnia, że podczas tego procesu nie zbiera żadnych danych, które mogłyby prowadzić do utraty prywatności użytkowników.
Przykładem anomalii może być sytuacja w której na danej stronie zainstalowany został certyfikat wystawiony przez inny Urząd Certyfikacji niż, powiedzmy, trzy poprzednie zainstalowane wcześniej. W takim przypadku mechanizm CR może zaalarmować właściciela domeny o tym fakcie, a ten może z kolei podjąć odpowiednie kroki, które doprowadzą do unieważnienia błędnie wydanego certyfikatu (osobie nieuprawnionej) dla jego domeny. Z drugiej strony właściciel domeny może potwierdzić, że nowy certyfikat został zainstalowany przez niego (sam zadecydował o zmianie dostawcy certyfikatu) i nie doszło do żadnego naruszenia bezpieczeństwa.
Całość działania CR oparta jest na algorytmach eksploracji danych i heurystyce i nie wymaga żadnej ingerencji ze strony użytkowników ani Urzędów Certyfikacji.
Sprawdź reputację swojego certyfikatu
Tak jak wspomniałem wcześniej mechanizm Certificate Reputation został pierwszy raz ukazany światu początku 2014 roku. Dopiero jednak w marcu tego roku Microsoft umożliwił korzystanie z zalet Certificate Reputation szerszej grupie użytkowników, czyli tak naprawdę wdrożył mechanizm o którym mówił już rok wcześniej.
Jeżeli chcesz sprawdzić jak CR działa dla Twojej strony musisz posiadać konto pozwalające na dostęp do usług Microsoftu, a w tym przypadku do Narzędzi Bing dla webmasterów. Aby uzyskać dostęp do danych o Twojej stronie wymagane jest potwierdzenie posiadania praw do danej domeny. Jedną z dostępnych metod weryfikacji jest umieszczenie odpowiedniego pliku XML na serwerze, a następnie wywołanie odpowiedniej akcji, jaką jest przejście pod wskazany adres i kliknięcie w przycisk potwierdzający.
Po zalogowaniu do serwisu wystarczy przejść do zakładki Security, a następnie wybrać Track Certificates. Dla mojego serwisu nie udało mi się zebrać jeszcze interesujących danych, więc muszę podać inny przykład tego jak może wyglądać treść tej zakładki:
Wśród danych, które udostępnia narzędzie możemy znaleźć:
- nazwę hosta,
- informacje o tym dla jakiej domeny/domen został wystawiony certyfikat,
- informacje o tym kto jest wystawcą certyfikatu,
- datę pierwszego zarejestrowania informacji o danym certyfikacie,
- datę kiedy ostatni raz zarejestrowano informacje o danym certyfikacie,
- datę wygaśnięcia certyfikatu,
- link umożliwiający pobranie certyfikatu,
- link umożliwiający przesłanie reportu do Microsoftu w przypadku, gdy np. certyfikat jest fałszywy.
Mechanizm Certificate Reputation jest kolejnym, obok Certificate Transparency (CT), mechanizmem pozwalającym na monitorowanie certyfikatów SSL. Zaletą CR w porównaniu z CT jest to, że obejmuje on wszystkie rodzaje certyfikatów SSL (CT narazie stosuje się jedynie w certyfikatach o rozszerzonej weryfikacji – Extended Validation). Jako minus CR można uznać to, że działa on w oparciu o dane zebrane jedynie od użytkowników systemów Windows. Jak wiadomo jednak nie jest ich mało, więc próba jest całkiem pokaźna.
Zachęcam do zapoznania się z mechanizmem Certificate Reputation, który z pewnością będzie ciągle rozwijany o nowe funkcje i rozpoczęcia monitorowania certyfikatów dla swoich domen.