Certificate Transparency w Firefoxie

Certificate Transparency w Firefoxie

Mozilla ogłosiła, że zamierza w niedalekiej przyszłości wdrożyć w swojej przeglądarce mechanizm pozwalający na sprawdzenie czy certyfikat został wydany zgodnie z założeniami Certificate Transparency. Początkowo opcja ta ma nie być włączona domyślnie.

Przejrzystość przede wszystkim

Błędnie wydane certyfikaty są jednym najpoważniejszych zagrożeń Infrastruktury Klucza Publicznego. Technologia nazwana Certificate Transparency (CT) ma pomóc w wykrywaniu i reagowaniu na błędnie wydane certyfikaty. Zakłada ona, że każdy wydany certyfikat będzie mógł zostać sprawdzony i zweryfikowany przez dowolny podmiot.

Dzięki CT właściciel danej domeny będzie mógł na bieżąco śledzić czy któryś z CA nie wydał, błędnie, certyfikatu na tę właśnie domenę. W przypadku, gdy sam zamówił taki certyfikat i został od on właśnie wydany dla niego to wszystko jest w porządku. Jeżeli natomiast okazałoby się, że certyfikat wydany został osobie nie posiadającej kontroli nad daną domeną to jej właściciel będzie mógł zareagować i zapobiec ewentualnym nadużyciom z wykorzystaniem błędnego certyfikatu.

Certificate Transparency

Certificate Transparency

„Dyktatura” Google

Jak można wywnioskować z poprzednich akapitów model Certificate Transparency opiera się na wzajemnej współpracy przeglądarek i CAs. Do skutecznego działania niezbędne jest wsparcie obu stron. Dlatego też nie tylko Mozilla pracuje nad wdrożeniem CT. Obecnie robi to większość CAs w swoich systemach. Dodatkowym czynnikiem „motywującym” do szybkiego wdrożenia CT wśród CAs jest Google. Od lutego 2015r. przeglądarka Chrome nie będzie poprawnie wyświetlała certyfikatów SSL typu Extended Validation, które nie będą poddane audytowi przejrzystości.

Jest to kolejny raz (po zmianach dotyczących certyfikatów SSL SHA-1) kiedy Google poprzez zmiany wprowadzane w Chrome niejako wymusza na Urzędach Certyfikacyjnych wprowadzanie dużych zmian w przyśpieszonych tempie.

Więcej na temat zasady działanie Certificate Transparency postaram się napisać w niedalekiej przyszłości :) Do tego czasu można zapoznać się z eksperymentalną wersją dokumentu RFC opisującą CT.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *