Nejnovější verze Firefoxu přidává lepší ochranu SSL

Firefox 32 implementoval funkci označovanou jako připnutí klíče certifikátu (certificate key pinning).

Nejnovější verze Firefoxu přidává lepší ochranu SSL


Společnost přidala ve své poslední verzi prohlížeče Firefox nový druh ochrany, která by měla pomoci zabránit kyberzločincům zasahovat do zabezpečené komunikace s velkými poskytovateli online služeb.

Funkce, známá jako připnutí klíče certifikátu, umožňuje online službám určit, které certifikáty SSL/TLS jsou platné pro jejich služby. Tyto certifikáty se používají k ověření, že web je legitimní, a také k oboustrannému šifrování přenášených dat.

Úkolem této funkce je zabránit útokům na zabezpečenou komunikaci klienta se serverem, k jakému například došlo v roce 2011, kdy se kyberzločincům podařilo proniknout do komunikace uživatelů se službou Gmail. Nizozemská certifikační autorita (CA), Diginotar byla buď podvedena, nebo napadena a vydala platný certifikát SSL, který fungoval pro doménu Google.

To teoreticky umožnilo útočníkům vytvořit pomocí falešného certifikátu SSL webové stránky, které vypadaly jako Gmail a které se z pohledu prohlížeče jevily jako zabezpečené a pravé. Bezpečnostní experti již dlouho varují, že hrozí útoky zaměřené na certifikační autority.

Připnutí certifikátu by mělo tento druh útoku zastavit, protože Firefox by věděl, že Diginotar by pro Google neměl vydávat žádné certifikáty.

„Pokud bude ve Firefoxu 32 některý z certifikátů v řetězci ověřených certifikátů odpovídat jednomu z platných (připnutých) certifikátů, Firefox zobrazí ikonu zámku jako normální,“ napsal Sid Stamm, vrchní manažer pro zabezpečení a ochranu soukromí Mozilly, na blogu společnosti.

„Když se kořenový certifikát pro připnutý web neshoduje se žádnou ze známých podporovaných certifikačních autorit, Firefox odmítne připojení a ohlásí chybu připnutí,“ dodal.

„Připnutí“ pro certifikáty online služeb musí být zakódovány do Firefoxu. Firefox 32, vydaný tento týden, podporuje stránky Mozilly a Twitteru. Další verze Firefoxu by měly podporovat připnutí certifikátů pro stránky služeb jako Google, Tor nebo Dropbox.











Komentáře