Новое исследование предлагает первую сквозную оценку экосистемы отзыва сертификатов в Интернете, которая включает администраторов веб-сайтов, которые получают и отзывают сертификаты, центры сертификации, которые публикуют список отозванных сертификатов, и браузеры, которые проверяют список отзыва для аутентификации веб-сайта.
Результаты исследования показывают, что администраторы веб-сайтов предоставляют большое количество отозванных сертификатов, центры сертификации не используют новые процессы для распространения отзывов, а веб-браузеры не проверяют, были ли отозваны сертификаты. Результаты показывают, что все участники экосистемы отзыва должны улучшить свою работу, чтобы выполнять свои обязанности и гарантировать успех системы.
«Результаты рисуют мрачную картину, потому что пользователи безмерно доверяют браузерам, которые они используют, и посещаемым веб-сайтам, чтобы делать то, что необходимо для защиты их безопасности», – говорит соавтор исследования Дэйв Левин, младший научный сотрудник компании Институт перспективных компьютерных исследований Мэрилендского университета.
Результаты исследования будут представлены 29 октября 2015 года на конференции Association for Computing Machinery Internet Measurement Conference (ACM IMC) в Токио. Левин провел исследование с учеными из Стэнфордского университета, Северо-Восточного университета, Университета Дьюка и Akamai Technologies.
Для безопасного онлайн-общения требуется аутентификация – способность пользователя определять, с кем он или она общается. Центральным элементом аутентификации в Интернете является система, известная как инфраструктура открытых ключей (PKI), которая состоит из сертификатов и ключей шифрования.
В то время как онлайн-использование PKI в основном автоматизировано, система требует удивительного количества человеческого вмешательства для поддержания действительности сертификатов.
«Отзыв сертификатов имеет решающее значение для безопасности Интернета, потому что это единственный способ защитить пользователей от злоумышленников, которые выдают себя за веб-сайты после нарушения безопасности, такого как Heartbleed», – говорит Левин, ссылаясь на широко распространенную ошибку безопасности, обнаруженную в 2014 году.
Heartbleed позволял злоумышленникам захватывать информацию, которая дала бы им возможность маскироваться под доверенные серверы и потенциально красть конфиденциальную информацию у ничего не подозревающих пользователей.
В предыдущей статье Левин показал, что несколько веб-сайтов отозвали свои сертификаты, скомпрометированные Heartbleed, и выпустили новые.
"Этот документ основывается на моей предыдущей работе над уязвимостью Heartbleed, задавая вопрос: даже если веб-сайты должным образом отзывают свои сертификаты, будут ли браузеры получать и проверять сертификаты?"говорит Левин. "К сожалению, подавляющий ответ – нет."
В текущем исследовании Левин и его коллеги исследовали производительность администраторов веб-сайтов, центров сертификации и веб-браузеров в реальных сценариях.
Чтобы оценить, насколько хорошо администраторы веб-сайтов обрабатывают отзывы, команда проанализировала многолетний набор данных, включающий 74 полных интернет-сканирования.
Исследователи обнаружили, что удивительно большая часть предоставленных сертификатов – 8 процентов – была отозвана. По словам Левина, обслуживая отозванные сертификаты, администраторы веб-сайтов создают дыры в безопасности.
Затем группа оценила производительность центров сертификации, которые обычно распространяют отзывы в веб-браузеры через файлы CRL, содержащие списки отозванных сертификатов. Команда обнаружила, что эти файлы могут увеличиваться до больших размеров, что замедляет работу браузера и использует большую пропускную способность при загрузке. По словам Левина, результаты показывают, что разработчики браузеров могут жертвовать безопасностью для повышения производительности.
Команда также обнаружила, что новые методы распространения отзывов не получили широкого распространения в центрах сертификации.
Наконец, исследователи исследовали 30 различных комбинаций операционных систем и веб-браузеров, включая Chrome, Safari, Firefox и Internet Explorer, и обнаружили, что ни одна из них не проверила должным образом, чтобы узнать, отозваны ли сертификаты. Кроме того, мобильные браузеры, работающие на платформах iOS и Android, не проверяли отозванные сертификаты.
«Если в браузере отображается значок замка, значит, пользователи считают, что это веб-сайт, о котором он сообщает, – говорит Левин. "Тем не менее, наши результаты показывают, что браузеры и веб-сайты не проверяют сертификаты безопасности, чтобы убедиться, что это правда."
Левин говорит, что это исследование повлияет на фундаментальные предположения о том, как PKI работает на практике.
«Что касается исследовательской области, мы надеемся, что это повлияет на то, как проектируются другие системы, которые полагаются на аннулирование, чтобы лучше соответствовать вероятному поведению администраторов», – говорит Левин.