Récemment, Google a constaté qu’une autorité de certification (CA) a émis des certificats forgés pour les domaines de Google. Cela compromet la dépend de la sécurité fournie par la sécurité de la couche (TLS) ainsi que de la sécurité HTTP (HTTPS), permettant au titulaire des certificats forgés de faire une attaque inter-in-the-intermédiaire.
Pour valider que le site Web que vous vérifiez est vraiment ce qu’ils prétendent être l’assurance, votre navigateur s’assure que le certificat fourni par le serveur que vous accédez a été signé par une autorité de certification approuvée. Lorsque quelqu’un demande un certificat d’une CA, ils doivent confirmer l’identité de la personne qui effectue la demande. Votre navigateur, ainsi que le système d’exploitation, disposez d’un ensemble de CAS de confiance (appelé CAS appelé CAS). Si le certificat a été émis par l’un d’entre eux, ou une CA intermédiaire qu’elles ont confiance, vous dépendez de la connexion. Cette structure de dépend de cela s’appelle une chaîne de confiance.
Avec un certificat forgé, vous pouvez persuader un client que votre serveur est vraiment . Vous pouvez utiliser cela pour vous asseoir entre la connexion d’un client ainsi que le serveur Google actuel, écoutez leur session.
Dans ce cas, une CA intermédiaire a fait cela. Cela est effrayant, car il sape la sécurité que nous dépendons de tous les jours pour toutes les transactions sécuritaires sur Internet. Le certificat Pining est un outil pouvant être utilisé pour résister à ce type d’attaque. Cela fonctionne en associant une prise avec un certain certificat. Si cela change, la connexion ne sera pas approuvée.
La nature centralisée de TLS ne fonctionne pas si vous ne pouvez pas dépendre des autorités. Malheureusement, nous ne pouvons pas.