15Lis/130
Nowości w WTW: DANE/TLSA
RFC 6698 - Jak wiemy (albo nie) aby nie dręczyć użytkowników pytaniami o prawidłowość certyfikatów trzeba albo dodać go do certyfikatów zaufanych albo upolować certyfikat podpisany przez jakąś trzecią firmę, która taki status posiada. Problemy z takim podejściem mogą być takie:
- Odpłatność za taki certyfikat (chociaż spełniając pewne warunki można taki cert mieć za darmo);
- W momencie ataku na centrum certyfikacji atakujący mogą sobie wygenerować zaufane certyfikaty z dowolnymi nazwami i tak przechwytywać szyfrowany ruch;
- Można wygenerować własny certyfikat, z nazwą serwera którego ruch chcemy łapać, co prawda na ogół spowoduje to pokazanie komunikatu ostrzgawczego, ale spójrzmy prawdzie w oczy, większość użytkowników po prostu zaakceptuje to co dostał;
To od czego jest DANE (DNS-Based Authentication of Named Entities)? W sumie do 2 rzeczy. Po pierwsze dzięki DANE zbędne staje się używanie certyfikatów firm trzecich. Można sobie samemu wygenerować certyfikat i ustawić w DNSie jako certyfikat zaufany dla połączenia na danym porcie/protokole. Oraz - jeśli używamy z jakichś powodów zewnętrznego certyfikatu - poinformować klienta, że ten konkretny wydany nam certyfikat jest prawidłowy i że jeśli w połączeniu TLS znajdzie się jakiś inny - jest to niebezpieczne.
DANE (szczególnie z DNS-SEC) podnosi bezpieczeństwo połączeń TLS, zakładając że serwer ma wpisy DANE w DNS i klient obsługuje ten właśnie RFC. A WTW jest (chyba) pierwszym klientem, który ten protokół implementuje.
Kalendarium
| P | W | Ś | C | P | S | N |
|---|---|---|---|---|---|---|
| « Sie | ||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 | ||||
Komentarze
- o Nowe logo WTW
- o WTW: Synchronizacaja archiwum GG
- o AndroidLink i WTW
- o Dotacje Alternatywne
- o Dotacje Alternatywne
Galeria
Leave a comment