Vor kurzem hat Google festgestellt, dass eine Zertifizierungsstelle (CA) geschmiedete Zertifikate für Google-Domains ausgestellt wurde. Dies kompromittiert die Abhängigkeit von der Lieferung von Layer Safety (TLS) sowie sicheres HTTP (HTTPS), wodurch der Inhaber der geschmiedeten Zertifikate einen MAN-In-the-Middle-Angriff ermöglicht.
Um zu bestätigen, dass die Website, die Sie audruckenden, eigentlich ist, dass sie wirklich ein Versicherungsanspruch ist, stellt Ihr Browser sicher, dass das vom Server angegebene Zertifikat von einem vertrauenswürdigen CA unterzeichnet wurde. Wenn jemand ein Zertifikat von einer Zertifizierungsstelle anfordert, müssen sie die Identität der Person bestätigen, die die Anfrage macht. Ihr Browser sowie das Betriebssystem haben ein Satz von schließlich vertrauenswürdigem CAS (als root CAS). Wenn das Zertifikat von einem von ihnen oder einem intermediären Intermediat herausgegeben wurde, damit sie vertrauen, hängen Sie von der Verbindung ab. Diese ganze Struktur von abhängig von der Trustkette wird als Trustkette bezeichnet.
Mit einem geschmiedeten Zertifikat können Sie einen Client überzeugen, dass Ihr Server wirklich ist. Sie können diese einsetzen, um zwischen der Verbindung eines Clients sowie des tatsächlichen Google-Servers zu sitzen, der ihre Sitzung ablädt.
In diesem Fall tat ein Zwischen-CA genau das. Dies ist unheimlich, da er die Sicherheit untergräbt, die alle von uns vom Alltag für alle sicheren Transaktionen im Internet abhängen. Zertifikat-Pinning ist ein Werkzeug, das verwendet werden kann, um dieser Art von Angriff zu standzuhalten. Es funktioniert, indem er einen Halt mit einem bestimmten Zertifikat verbindet. Wenn sich ändert, wird die Verbindung nicht vertraut.
Die zentralisierte Natur von TLs funktioniert nicht, wenn Sie sich nicht auf die Behörden verlassen können. Leider können wir nicht.