Pelanggaran kepercayaan otoritas sertifikat mengekspos kerentanan dalam hierarki kepercayaan Internet

Pelanggaran kepercayaan otoritas sertifikat mengekspos kerentanan dalam hierarki kepercayaan Internet

Pada akhir Maret 2015, ada pelanggaran keamanan besar yang melibatkan sertifikat digital tanpa izin yang meniru Google. Kejadian ini memiliki implikasi yang luas untuk bagaimana orang-orang biasa memutuskan siapa yang akan dipercaya di Internet.

Dalam pos ini, kami akan mencoba menjelaskan mengapa ini penting bagi pengguna akhir seperti Anda.

Singkatnya, apa yang terjadi

Google mendeteksi pemalsuan sertifikat SSL berkualitas tinggi untuk domain Google. Pemalsuannya sangat bagus sehingga mereka bisa menipu sebagian besar peramban, mungkin membiarkan penyerang meniru Google dan domain lainnya, bahkan berpotensi menipu pengguna untuk mengungkapkan kata sandi mereka. Untungnya, pemalsuan hanya ada dalam lingkungan pengujian tertutup.

Menerbitkan sertifikat digital palsu semacam itu — bahkan dalam lingkungan pengujian — seharusnya hampir tidak mungkin, berkat proses yang ketat untuk memverifikasi identitas pemegang sertifikat. Fakta bahwa ini terjadi karena itu adalah masalah yang sangat besar, dan itu berarti bahwa hal itu dapat terjadi lagi, dan bahwa hal itu mungkin terjadi sebelumnya untuk organisasi lain tetapi tidak diperhatikan..

Google merespons dengan memperbarui peramban Google Chrome-nya untuk tidak lagi mempercayai otoritas sertifikat tertentu yang terlibat (disebut CNNIC); itu menghapus sertifikat root CNNIC dari produknya. Mozilla (pembuat Firefox) akan tidak mempercayai semua sertifikat CNNIC baru sampai aplikasi ulang CNNIC berhasil dimasukkan ke dalam root store.

Penyegaran: Inilah yang terjadi ketika Anda mengunjungi situs dengan sertifikat SSL yang valid

Ini akan membantu untuk memiliki pemahaman tingkat tinggi tentang apa yang terjadi ketika kita pergi ke situs web menggunakan https dan browser kita menunjukkan kepada kita tanda centang hijau atau kunci yang mengatakan situs ini aman.

  1. Anda mengetik https://www.google.com di browser web Anda.
  2. Browser web Anda mengakses direktori publik yang disebut DNS untuk mencari alamat IP mana yang harus digunakan untuk menghubungi google.com.
  3. Browser web Anda menghubungi server di alamat IP yang diterima dari DNS.
  4. Server merespons dengan sertifikat SSL.
  5. Browser web Anda menggunakan sertifikat SSL ini untuk mencapai dua hal yang sangat penting:
    1. Ini mengkonfirmasi identitas server. Dalam hal ini, itu menegaskan bahwa server benar-benar dijalankan oleh Google; dan
    2. Ini mengatur saluran komunikasi terenkripsi, sehingga data yang dikirim antara browser dan server dienkripsi. Siapa pun yang mendengarkan di jaringan dapat melihat bahwa Anda berkomunikasi dengan Google, tetapi tidak dapat melihat isi komunikasi Anda.

Jika sertifikat SSL valid, browser Anda akan menunjukkan tanda centang hijau yang dikenal atau mengunci pada bilah alamat.

Ahh, kunci hijau.Ahh, kunci hijau.

Namun, jika penyerang berhasil menipu browser saya agar menghubungi server palsu, browser Anda akan melihat bahwa sertifikat SSL-nya tidak valid, dan itu akan menampilkan peringatan keamanan.

Inilah yang terjadi ketika sertifikat SSL adalah pemalsuan berkualitas tinggi (petunjuk: browser Anda tidak akan memberi tahu)

Inilah mengapa pengumuman dari Google sangat penting: MCI Holdings berhasil membuat sertifikat SSL palsu untuk Google yang sangat realistis sehingga dapat menipu sebagian besar peramban web untuk berpikir bahwa sebuah situs web pada server palsu sebenarnya adalah Google. Ini idealnya tidak pernah terjadi. Tetapi ketika itu terjadi, ini akan terlihat seperti:

  1. Anda mengetik https://www.google.com di browser Anda.
  2. Seorang penyerang menipu server DNS Anda agar memberi Anda alamat IP yang salah untuk google.com. Mereka dapat melakukan ini dengan mengeksploitasi bug di router rumah Anda, router lain di jaringan, bug di server DNS itu sendiri (biasanya dijalankan oleh ISP Anda), atau berbagai cara lain.
  3. Peramban web Anda menghubungi server palsu.
  4. Server palsu merespons dengan sertifikat SSL palsu. Namun, sertifikat itu palsu berkualitas tinggi yang menurut peramban Anda valid.
  5. Browser Anda akan menunjukkan tanda centang hijau atau mengunci di bilah alamat.
    1. Ketika sertifikat SSL adalah pemalsuan berkualitas tinggi dan tidak dapat terdeteksi, Anda dan peramban Anda akan berpikir itu sebenarnya GMail ...Ketika sertifikat SSL adalah pemalsuan berkualitas tinggi dan tidak dapat terdeteksi, Anda dan peramban Anda akan berpikir itu sebenarnya GMail ...
  6. Anda mengetikkan nama pengguna dan kata sandi Google Anda menjadi klona GMail berkualitas tinggi, dengan demikian mengirimkannya ke penyerang, yang sekarang mendapatkan kendali atas semua data Google Anda termasuk email, dokumen, foto, kontak, dan hal lain yang terkait dengan akun Google Anda.

Bagaimana browser web memutuskan apakah sertifikat SSL itu valid, tetap?

Setiap sistem operasi, ponsel cerdas, dan browser web sudah diinstal sebelumnya dengan daftar beberapa lusin perusahaan atau pemerintah yang tanda tangan digitalnya akan dipercaya secara otomatis, kecuali jika dikonfigurasi sebaliknya (lebih lanjut tentang ini nanti). Perusahaan tepercaya ini disebut Certificate Authorities, atau CA, dan harus memenuhi kriteria terperinci untuk menjadi bagian dari daftar itu.

Root Sistem Akses KeychainAnda dapat mengakses ini dengan masuk ke Spotlight > Akses Gantungan Kunci > Root Sistem.

Jika situs web menyajikan sertifikat yang ditandatangani oleh salah satu otoritas sertifikat tepercaya ini, browser web akan menafsirkannya sebagai “Saya melihat tanda tangan otoritas sertifikat ini yang telah saya konfigurasikan sebelumnya untuk dipercayai. Ia telah menandatangani sertifikat server ini. Itu berarti telah memverifikasi orang-orang di balik server itu dan memastikan mereka benar-benar seperti yang mereka klaim. Oleh karena itu, saya akan mempercayai sertifikat ini juga, dan menunjukkan tanda centang hijau atau kunci untuk pengguna saya. "

Ini membantu untuk menganggap otoritas sertifikat sebagai analog dengan badan tepercaya yang menerbitkan dokumen identitas seperti paspor. Ketika Anda mengajukan paspor, Anda harus membawa dokumen pendukung seperti akta kelahiran, SIM, dan foto Anda, dan Anda mungkin harus melakukannya sendiri sehingga mereka dapat memverifikasi bahwa Anda adalah orang yang ada di foto Anda. Saat Anda bepergian, Anda menggunakan paspor Anda sebagai dokumen identitas Anda. Pemerintah, hotel, dan maskapai penerbangan percaya bahwa Anda adalah orang yang dikonfirmasi oleh paspor Anda.

Anda dapat menganggap otoritas sertifikat sebagai analog dengan kantor penerbit paspor, dan Anda dapat menganggap sertifikat digital sebagai semacam paspor, atau dokumen identitas, untuk situs web. Paspor (idealnya) sulit dipalsukan, dan memiliki tanggal kedaluwarsa. Dengan cara yang sama, sertifikat digital seharusnya (idealnya) sulit dipalsukan, dan mereka juga memiliki tanggal kedaluwarsa. Melewati tanggal kedaluwarsa, paspor dan sertifikat digital menjadi tidak valid.

Kami tidak dapat menerima siapa yang dipercayai oleh browser dan komputer kami

Anda mungkin terbiasa dengan beberapa otoritas sertifikat bahwa komputer Anda secara otomatis telah dikonfigurasi untuk dipercaya, seperti Symantec dan GoDaddy. Tetapi apakah Anda tahu bahwa sistem operasi atau peramban Anda mungkin menyertakan sertifikat root untuk organisasi yang jauh seperti Kantor Pos Hong Kong, sebuah organisasi dari Belanda bernama Staat der Nederlanden Root CA, dan berbagai pemerintah di seluruh dunia? (Jika Anda ingin tahu, inilah daftar organisasi yang dipercaya oleh Firefox).

Risiko adalah apa yang terjadi ketika salah satu dari otoritas sertifikat tersebut menandatangani a ditempa sertifikat dari peniru melalui kelalaian (yang tampaknya terjadi dengan CNNIC / MCS Holdings / Google bencana), atau bahkan berpotensi melalui kedengkian.

Apakah sudah waktunya untuk mempertimbangkan kembali siapa yang kita percayai di Internet?

Kepercayaan pada Internet mengalir secara transitif. Kami mempercayai pengembang sistem operasi kami dan browser web kami; kami percaya perusahaan seperti Google yang menangani data kami di Internet; dan kami mempercayai beberapa otoritas sertifikat untuk memverifikasi dengan hati-hati identitas berbagai situs web dan hanya mengeluarkan sertifikat SSL kepada pemiliknya yang sah.

Kasus sertifikat Google yang dipalsukan menyoroti pentingnya meninjau otoritas sertifikat mana yang benar-benar kami butuhkan untuk dipercaya oleh peramban kami. Bergantung pada situs web mana yang biasanya Anda kunjungi, set otoritas sertifikat yang benar-benar Anda andalkan mungkin jauh lebih kecil daripada set yang sebelumnya dipercayai di komputer Anda.

Inilah yang dapat Anda lakukan tentang ini:

  1. Pertimbangkan menonaktifkan beberapa sertifikat root yang telah dipra-konfigurasi pada komputer Anda. Misalnya, jika Anda biasanya tidak menjelajahi situs web di Belanda, mungkin bijaksana untuk menonaktifkan otoritas yang disebut "Pemerintah Belanda, PKIoverheid" yang mungkin diatur oleh browser Anda untuk dipercayai saat ini. Kami juga menyarankan untuk menonaktifkan sertifikat root untuk CNNIC.
  2. Pertimbangkan menjadikan Chrome sebagai peramban default Anda, karena Google memiliki rekam jejak yang waspada dan segera merespons terhadap pelanggaran kepercayaan.
  3. Ikuti proyek-proyek seperti Proyek Transparansi Sertifikat Google, yang menciptakan solusi teknis untuk melihat sertifikat palsu lebih cepat. Selama bulan-bulan dan tahun-tahun mendatang, proyek-proyek seperti itu akan menciptakan plugin dan peningkatan pada browser dan sistem operasi untuk memecahkan beberapa masalah ini, tetapi solusi tersebut tidak sepenuhnya tersedia hari ini.
  4. Sementara itu, ingatlah untuk menggunakan VPN. Ini melindungi Anda dari beberapa cara yang memungkinkan penyerang dapat mencoba menggunakan sertifikat SSL palsu pada Anda. Sebagai contoh, VPN mempersulit penyerang untuk merusak hasil DNS Anda.

Bacaan lebih lanjut:

Apa itu Otoritas Sertifikat & Percayai Hirarki? | GlobalSign
Proyek Transparansi Sertifikat Google

Pelanggaran kepercayaan otoritas sertifikat mengekspos kerentanan dalam hierarki kepercayaan Internet
admin Author
Sorry! The Author has not filled his profile.