Certyfikaty SSL są jednym z najważniejszych elementów zapewniających bezpieczeństwo internetu. Pomimo olbrzymich zabezpieczeń jakie oferują, nie należy zapominać że pomysłowość ludzka nie zna granic, a przestępcy są na tyle zorganizowani i zdeterminowani, że wykorzystają każdą lukę w obronie – niestety takie znalazły się już w przeszłości w certyfikatach SSL. Na szczęście system zapewnia wysoki poziom bezpieczeństwa i fałszowanie certyfikatów odbywa się niezwykle rzadko i wymaga olbrzymich nakładów pracy. Jest też proste do wykrycia, dzięki czemu dostawcy certyfikatów oraz producenci przeglądarek są w stanie szybko reagować i chronić użytkowników internetu.
Jak przebiega fałszowanie certyfikatu ssl?
Należy pamiętać, że certyfikaty ssl są najbezpieczniejszą ochroną użytkowników stron internetowych, ich rejestrowanie i przyznawanie jest skrupulatnie kontrolowane, a podmiot starający się nabyć certyfikat ssl poddawany jest weryfikacji. Wobec szerokiej kontroli osoby i organizacje, którym zależy na uzyskaniu fałszywych certyfikatów mają więc przede wszystkim dwie opcje:
dokonanie włamania do CA (Certification Authority), dostawcy certyfikatów, dzięki czemu możliwe będzie wykradzenie kluczy,
dokonanie włamania na konto jednego z użytkowników RA (Registration Authority), co pozwoli na ręczne przyznanie sobie certyfikatu.
Atak może zostać przeprowadzony dzięki uzyskaniu przynajmniej częściowego dostępu do DNS albo poprzez ataku od środka, dlatego hakerzy często korzystają z bramek do sieci albo komputerów znajdujących się w docelowej sieci. Często konieczne jest więc odpowiednie zainfekowanie Ethernetu. Alternatywą w pozyskaniu fałszywego certyfikatu ssl może być nieuczciwy dostawca – z tej metody oszustwa skorzystała kiedyś francuska agencja wywiadowcza.
W jakie strony celują oszuści?
Co ciekawe obok stron banków i innych serwisów obsługujących płatności internetowe oszuści podszywają się pod strony gromadzące informacje. Przykładowo w 2011 roku udało się sfałszować certyfikaty: login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org. Warto także pamiętać, że na fałszowaniu certyfikatów przyłapano oprócz indywidualnych hakerów i niezależnych grup, wywiady różnych państw, w tym Iranu, Rosji oraz Francji.
Jak bronić się przed fałszywymi certyfikatami?
Przed sfałszowanymi certyfikatami często bronią nas sami dostawcy przeglądarek. Najpopularniejsze programy do korzystania z internetu posiadają czarne listy certyfikatów, które aktualizują zaraz po otrzymaniu informacji o możliwości dokonania ataków. Samo Google, ze względu na fakt, że niezwykle często stawało się ofiarą fałszowania certyfikatów wprowadziła w swojej przeglądarce dodatkowe zabezpieczenie – public key pinning. Przeglądarka przechowuje informacje o kluczach google, dzięki czemu może stwierdzić czy certyfikaty ssl stron są prawdziwe. Niestety ochroną tego typu objęte są jedynie serwisy należące do giganta z Doliny Krzemowej. Ciekawym rozwiązaniem jest także Mutually Endorsing CA Infrastructure – sprawdzenie certyfikatu odbywa się poprzez potwierdzenie go przez trzy losowo wybrane strony pozwalające na uzyskanie certyfikatu ssl. Jeżeli któryś z CA nie potwierdzi ważności certyfikatu użytkownik zostanie powiadomiony o możliwości oszustwa. Alternatywą jest także TACK (Trust Assertion for Certificate Keys) – strony korzystające z HTTPS podpisują specjalnym kluczem TACK ważny certyfikat SSL wraz z nazwą domeny i datą jej wygaśnięcia. Przeglądarka zapisuje informacje o witrynie, certyfikacie i kluczu w momencie odwiedzenia strony przez użytkownika. Jeżeli certyfikat zostanie sfałszowany sesja zostanie zerwana, a użytkownik otrzyma stosowne ostrzeżenie.