nyligen fann Google att en certifikatmyndighet (CA) utfärdade smidda certifikat för Google-domäner. Detta komprometterar beror på levererad av Leverage Layer Safety (TLS) samt Safe HTTP (HTTPS), vilket gör det möjligt för innehavaren av de smidda certifikaten att göra en man-i-mellersta attack.
För att validera att webbplatsen du checkar ut är verkligen vem de försäkrar att vara, din webbläsare ser till att certifikatet som tillhandahålls av servern du får tillgång till undertecknades av en pålitlig ca. När någon begär ett certifikat från en CA måste de bekräfta identiteten hos den person som gör begäran. Din webbläsare, såväl som operativsystem, har en uppsättning så småningom pålitliga CAS (kallad Root Cas). Om certifikatet utfärdades av en av dem, eller en mellanliggande Ca som de litar på, beror du på anslutningen. Den här hela strukturen av bero på kallas en förtroendekedja.
Med ett smidigt certifikat kan du övertyga en klient som din server är riktigt http://www.google.com. Du kan använda detta för att sitta mellan en kunds anslutning såväl som den faktiska Google-servern, avlyssna sin session.
I det här fallet gjorde en mellanliggande CA just det. Detta är läskigt, eftersom det undergräver den säkerhet som vi alla beror på varje dag för alla säkra transaktioner på Internet. Certifikat Pinning är ett verktyg som kan användas för att motstå denna typ av attack. Det fungerar genom att associera ett håll med ett visst certifikat. Om det ändras, kommer anslutningen inte att lita på.
Den centrala naturen hos TLS fungerar inte om du inte kan lita på myndigheterna. Tyvärr kan vi inte.