Što je CA certifikat i kako to funkcionira?
Nedavno je vlada Kazahstana privremeno prisilila građane da instaliraju Tijelo za ovjeru (CA) koje je državi omogućilo da dešifrira sav sadržaj i komunikacije u napadu “čovjek u sredini”.
Certifikat je čak omogućio vladi da mijenja podatke i vara korisnike u pokretanju i preuzimanju virusa i špijunskog softvera. Inicijativa kazahstanske vlade za sada možda nije uspjela, ali prijetnja je stvarna.
Tijela za certifikate su objasnila
Tijelo za certifikaciju provjerava da je web stranica onakva za koju piše da šifrira podatke između svojih poslužitelja i vas. CA će potpisati potvrdu šifriranja web mjesta koja se korisniku daje prilikom svakog otvaranja web mjesta.
Dobavljači preglednika i operativnog sustava ne mogu sami potvrditi vlasništvo nad svim web lokacijama, pa ih delegiraju na više pouzdanih službenika. Sve službene službe moraju imati procese i provjere kako bi se osiguralo da se certifikati izdaju samo zakonitom vlasniku domene.
Na primjer, kada posjetite web-lokaciju svoje banke, želite biti sigurni da zaista upotrebljavate web-lokaciju svoje banke, a ne neki uljez. Stoga će vaš preglednik provjeriti da li certifikat koji je dao web mjesto izdaje pouzdano tijelo, stvarajući tako “lanac povjerenja” koji pruža dokaz da zaista upotrebljavate ispravnu web lokaciju.
U prošlosti je bilo nekoliko slučajeva u kojima su dobavljači preglednika i OS-a oduzeli prava CA-ovima jer su se pokazali nesposobnima ili zlonamjernima u načinu izdavanja certifikata. Ako tijelo certifikata potpiše zahtjeve za druge, poput nacionalnih država ili hakera, sustav ne radi.
Na vaše je računalo unaprijed instaliran skup ovlaštenja za certifikate, a Firefox koristi vlastiti popis koji su provjerili njegovi vlastiti stručnjaci. Kazahstan pokušava uključiti svoje ovlaštenja za zlonamjerne certifikate u Firefox, ali Mozilla je pristojno odbila. CA nije uključen u bilo koji drugi glavni preglednik, ali moguće je dodati bilo koji CA ručno. Programeri preglednika svjesni su ove rupe, a neki predlažu da trajno blokiraju zlonamjerne službene službe i onemoguće korisnicima da ih instaliraju ili zaobiđu ograničenja.
Lažni autoritet za certifikate
Stvaranjem vlastitog ovlaštenja za certifikate i pružanjem mogućnosti za lažno predstavljanje bilo kojeg mjesta koje želi, kazahstanska vlada pokušava zaobići taj važan lanac povjerenja.
Sve dok kontrolira protok podataka, svaki je poslužitelj u stanju predstaviti kao “zakonit” i koristiti ga za lažno predstavljanje vaših vjerodajnica. Na primjer, valjana potvrda twitter.com dokazuje da ste stvarno povezani s Twitterom i da je sigurno unijeti svoje korisničko ime i lozinku. Međutim, ako vaše računalo ima lažni CA, netko drugi može usmjeriti vašu vezu do vlastitog poslužitelja dok se predstavlja kao Twitter.
Što je HTTPS certifikat?
Hypertext Transfer Protocol Secure (HTTPS) protokol je koji se koristi za šifriranje web stranica. Kada prijeđete na web mjesto koje podržava HTTPS (do sada većina svih web lokacija), šifrirani kanal postavlja se između vašeg uređaja i poslužitelja web stranice, osiguravajući da nitko između njih neće moći pročitati vaše lozinke ili osjetljive podatke. Ova se mjera sigurnosti često označava zaključavanjem u adresnoj traci preglednika.
Da biste provjerili je li vaše računalo povezano s stvarnom web stranicom banke, a ne s klonom, HTTPS certifikat potpisuje CA. Kada dođete na web mjesto, poslužitelj će predstaviti elektronički potpis koji pokazuje da je tijelo potvrdilo da pripada web mjestu koje pokušavate posjetiti.
Budući da je HTTPS vrlo pouzdan kada nije poništen, velika većina web stranica i aplikacija oslanja se isključivo na sigurnost koju pruža HTTPS kako bi podaci bili sigurni u tranzitu..
Šifriranje djeluje
Jednostavno šifriranje poput HTTPS-a može imati dubok utjecaj na internetsku sigurnost i privatnost, zbog čega su autoritarni režimi skloni to napadati..
Osobito u državama s nepouzdanim pravnim sustavima i nedostatkom odgovornosti za vlast, ne možemo vjerovati vladama s pristupom našim privatnim podacima. Kao što je pokazalo bezbroj primjera, privatne informacije (poput podataka o kreditnim karticama i privatnih poruka) trpeće se u ruke regionalnih odjela, zatim pojedinih službenika i na kraju u organizirani kriminal, gdje prijete stabilnosti društva.
17.04.2023 @ 18:12
ost. Međutim, nedavni potezi kazahstanske vlade pokazuju da postoji stvarna prijetnja za ovu sigurnost. Pokušaj da se instalira lažni CA koji bi omogućio vladi da dešifrira i mijenja podatke korisnika je vrlo zabrinjavajući. Certifikati su ključni za osiguravanje da se korisnici povezuju s pravim web stranicama i da se njihovi podaci štite u tranzitu. Stoga je važno da se ovakvi pokušaji zaobilaženja lanca povjerenja blokiraju i spriječe. Programeri preglednika trebaju raditi na trajnom blokiranju zlonamjernih službenih službi i onemogućavanju korisnicima da ih instaliraju ili zaobiđu ograničenja. Samo tako možemo osigurati da se naši podaci i privatnost zaista štite na internetu.