Malé novinky o velkých věcech

Síť
Foto: Apple
Poslat odkaz Zvyšujeme bezpečnost certifikátů na facebook Poslat odkaz Zvyšujeme bezpečnost certifikátů na twitter

Apple v honbě za rychlostí a optimalizací trochu pozapomněl na bezpečnost. Nepovolil totiž online ověřování platnosti certifikátů (to je povoleno je u EV certifikátů) a tak se může stát, že certifikát bude vám může být podvržen podrobněji k teorii viz článek Když https protokol není bezpečný. Podívejme se však na košatý strom praxe a nastavme si bezpečnější chování prohlížečů v Mac OS X.

Ve výše zmíněném případu, byla platnost falešně vydaných certifikátů pozastavena a jak Google, Microsoft i Mozilla upravily své prohlížeče tak, aby těmto certifikátům nedůvěřovala. Apple však prozatím neudělal nic, což by mohlo být v pořádku, pokud by vše fungovalo s právně s kontrolou bezpečnosti certifikátů.

Situaci na Macovi komplikuje fakt, že OCSP a CRL kontrola platnosti certifikátů je v Mac OS X zrušena, vyjma certifikátů s Extended Validation "EV"). Tu je třeba zapnout. Ačkoliv nehrozí veliké riziko ze zneužití certifikátů ze společnosti Comodo, je stále dobré mít tuto kontrolu zapnutou. Pod Mac OS X 10.6 to uděláte následovně.

  • Klepněte do pravého horním rohu obrazovky (tam kde je Spotlight hledání) a vepište tam "Keychain Access"
  • Klepněte na enter, čímž se právě označená aplikace Keychain Access spustí.
  • V aplikaci Keychain Access si vyberte "Preferencess ..." (Předvolby)
  • Vyberte si záložku "Certificates" (Certifikáty)
  • Nastavte "Online Certificate Status Protocol (OCSP)" na "Best Attempt"
  • Nastavte "Certificate Revocation List (CRL)" na "Best Attempt"
  • Nastavte "Priority" na "OCSP"
  • Výsledek by měl vypadat jako na obrázku zde. Pak již jen stačí uzamknout keychain a ukončit aplikaci.

Toto vyřeší ověřování certifikátu pro Safari a Chrome, protože oba využívají služeb Keychains. Firefox má vlastní úložiště certifikátů a měl by mít nastaven pro využívání OCSP od začátku.

  • Ve Firefoxu si vyberte Preferences .. (Předvolby)
  • Klepněte na záložku Advanced ... (Rozšířené)
  • Vyberte si podzáložku Encryption (Šifrování)
  • Klepněte na tlačítko Validation (Ověřování)
  • Překontrolujte, zda je nastavena volba "Validate a certificate if it specifies an OCSP server"
  • Nejsprávnější a nejbezpečnější možností je také nastavení volba "When an OCSP server connection fails, treat the certificate as invalid." (Pokud se připojení k OCSP serveru nezdaří, považovat certifikát za neplatný.). Důsledkem této volby je, že Firefox bude striktně vyžadovat, aby se mohl spojit se serverem a ověřit si certifikát. Pokud to nemůže provést, bude certifikát vyhodnocen jako neplatný a vy se nebudete moci připojit. Certifikát bude vyhodnocen jako neplatý i v případě, že server certifikační autority nebude přístupný (například z důvodu údržby) a tak nastavení může vyhlašovat falešné upozornění. Na druhou stranu, nikdo vám nebude moci podstrčit neplatný certifikát.
  • Nastavení podle tohoto obrázku, tak nastaví bezpečnější ověřování certifikátů.

Pakliže máte vše správně nastaveno, navštívení stránky https://test-sspev.verisign.com:2443/test-SSPEV-revoked-verisign.html způsobí chybu v prohlížeči a oznámí vám, že stránka obsahuje certifikát se zrušenou platností.

Jedinou nevýhodou tohoto nastavení je lehké zpoždění nahrávání stránek, využívajících certifikátů, protože prohlížeč bude vždy ověřovat platnost certifikátu a tedy se musí spojit se serverem certifikační autority.

Publikováno: 30.11.2010

 

 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License