S varováním přišla ve své zprávě organizace ICANN. Ta se obává zneužití certifikátů SSL vydaných pro neveřejná doménová jména k odposlechu komunikace vedené přes protokol HTTPS. O velký problém by šlo ve chvíli, kdy se uvedou do provozu nové domény nejvyššího řádu.
Jako příklad problémového certifikátu ICANN uvedla certifikát vydaný odpovědnou certifikační autoritou australskému výrobci oblečení Quicksilver pro doménu webmail.quiksilver.com.au. Certifikát je platný také pro veřejně nerozpoznatelná doménová jména qsauhub01, qsauhub01.sea.quiksilver.corp, qsauhub02, qsauhub02.sea.quiksilver.corp a autodiscover.sea.quiksilver.corp.
Koncovka .corp se v privátních firemních sítích používá již dlouhou dobu, ovšem v současné době se o ní reálně uvažuje jako o nové generické doméně. Podle informací z oficiálních stránek ICANN má o registraci generické domény .corp v současné době zájem šest organizací.
„Pokud by útočník získal certifikát ještě předtím, než bude nová gTLD někomu přidělena, mohl by potají přesměrovat uživatele z původních stránek na vlastní infikovaný web, který bude díky používanému certifikátu SSL vypadat velmi důvěryhodně. Riskujeme tak vážné narušení integrity a soukromí komunikací vedených přes HTTPS, stejně jako přes ostatní protokoly spoléhající na certifikáty X.509,“ píše ICANN.
V modelovém případě se výzkumníkům podařilo aplikovat výše uvedenou metodu na doménu .site. Přestože .site zatím není v provozu, velmi pravděpodobně se stane jednou z nových gLTD. Někteří žadatelé o registraci této koncovky již dokonce nabízejí možnost předběžné registrace doménových jmen.
ICANN také zjistila, že do roku 2010 bylo vydáno přes 37 tisíc certifikátů pro vnitřní doménová jména. Zhruba v 1 tisíci případů jde o domény používající některou z poptávaných koncovek gLTD. Skutečné množství domén, které jsou v konfliktu s budoucími generickými doménami, je však pravděpodobně mnohem větší.
O problému se ví již delší dobu, protože organizace CA/Browser Forum sdružující certifikační autority v červnu loňského roku oficiálně požádala své členy, aby již nevydávali nové certifikáty pro interní serverová jména, jejichž platnost skončí v listopadu 2015. V říjnu 2016 by pak mělo dojít k odvolání všech zbývajících certifikátů, čímž de facto dojde k jejich úplnému zániku.
Vnitřně používané certifikáty SSL jsou budoucí hrozbou
Certifikáty SSL vydané pro vnitřní domény mohou vážně narušit bezpečnost a integritu nových generických domén.
autor Filip Brůcha | SecurityWorld |
Související články
WatchGuard rozšiřuje nabídku SSL VPN
BSA: Varování před postihy pirátství jako daňových úniků nebylo útokem na open source komunitu
ICANN zvažuje vytvoření speciální „pornodomény“ .xxx
Internet Explorer: Microsoft ignoruje bezpečnostní mezery v SSL
Komplexní SSL VPN zařízení představil WatchGuard
SecurityWorld
SMB firmy nejvíce trpí vyššími nároky na kyberbezpečnost
Šest strategií pro tvorbu bezpečnějších hesel
Jak si zvolit dokonalé heslo
Stop ransomwaru – Reaqta s ním zatočí!
Bitdefender GravityZone Ultra Plus (XDR)

Komentáře