WikiDer > Конвергенция (SSL)
Окончательный релиз | 0.09 (клиент) / 2012-03-07 |
---|---|
Репозиторий | |
Написано в | Python, JavaScript |
Операционная система | Windows, OS X, GNU / Linux |
Доступно в | английский |
Тип | Просмотр веб-страниц |
Лицензия | GPLv3 |
Интернет сайт | Видеть В архиве 3 августа 2016 г. Wayback Machine |
Конвергенция была предложена стратегия замены SSL центры сертификации, впервые выдвинутый Мокси Марлинспайк в августе 2011 года во время выступления на тему «SSL и будущее аутентичности» на Конференция по безопасности Black Hat.[1] Это было продемонстрировано с помощью Дополнение Firefox и серверный нотариус демон.
В своем выступлении Марлинспайк предложил свести все текущие проблемы с системой центра сертификации (CA) к единственному отсутствующему свойству, которое он назвал «гибкостью доверия» и которое компания Convergence стремится обеспечить. Стратегия утверждала, что она гибкая, безопасная и распределенная.[2][3]
По состоянию на 2013 год[4] Marlinspike ориентирован на IETF предложение под названием TACK,[5] который призван стать бесспорным первым шагом, который выступает за динамическое закрепление сертификатов вместо полной замены CA и уменьшает количество раз, когда необходимо доверять третьей стороне.[6][7]
Развитие конвергенции продолжалось в форке «Convergence Extra» примерно до 2014 года.[8][требуется сторонний источник]
Фон
Конвергенция была основана на предыдущей работе проекта «Перспективы» на Университет Карнеги Меллон. Как и «Перспективы», «Конвергенция» аутентифицировала соединения, обращаясь к внешним нотариусам, но, в отличие от «Перспектив», нотариусы конвергенции могли использовать ряд различных стратегий, выходящих за рамки сетевой перспективы, для вынесения вердикта.
Конвергенция по сравнению с обычным SSL
Цель центр сертификации в обычном SSL Система должна поручиться за идентичность сайта, проверив его сертификат SSL. Без какого-либо поощрения человек открыт для атака "человек посередине". За один сайт ручается только один центр сертификации (ЦС), и пользователь должен доверять этому ЦС. Веб-браузеры обычно включают в себя список доверенных центров сертификации по умолчанию и отображают предупреждение о «ненадежном соединении», когда доверенный центр сертификации не может поручиться за сайт. Проблема с этой системой заключается в том, что если пользователь (или поставщик браузера) теряет доверие к ЦС, удаление ЦС из списка доверенных центров браузера означает потерю доверия ко всем сайтам, которые использовали этот ЦС. Это произошло, когда основные браузеры потеряли доверие к DigiNotar CA[9] и сайты, зарегистрированные в этом ЦС, должны были получить новые центры сертификации (см. Центр сертификации # Компрометация ЦС больше примеров нарушений доверия).
С Конвергенцией, однако, был уровень избыточность, и нет единая точка отказа. Несколько нотариусы мог поручиться за один-единственный сайт. Пользователь мог доверять нескольким нотариусам, большинство из которых поручились бы за одни и те же сайты. Если нотариусы не согласились с правильностью идентификации сайта, пользователь мог выбрать большинство голосов, или ошибаться в сторону осторожности и требовать, чтобы все нотариусы согласились, или довольствоваться одним нотариусом (метод голосования контролировался настройкой в надстройке браузера). Если пользователь решил не доверять определенному нотариусу, незащищенному сайту можно было бы доверять, пока оставшиеся доверенные нотариусы доверяли ему; таким образом, больше не было единой точки отказа.
В сентябре 2011 г. Qualys объявил, что у него будет два нотариальных сервера.[10] По состоянию на июнь 2016 года эти серверы не работали.[11] Список нотариусов поддерживался на вики-странице «Конвергенция».[12]
Альтернативы
- В Проект Monkeysphere пытается решить ту же проблему, используя PGP сеть доверия модель для оценки подлинности сертификатов https.[13]
- Закрепление открытого ключа HTTP - это механизм безопасности, который позволяет веб-сайтам HTTPS противостоять выдаче себя за другое лицо со стороны злоумышленников, использующих неправильно выданные или иным образом поддельные сертификаты.
- Сертификат прозрачности это попытка решить проблему путем проверяемые общедоступные журналы только для добавления.
Рекомендации
- ^ «SSL и будущее аутентичности». YouTube.
- ^ Шварц, Мэтью Дж. (30 сентября 2011 г.). «Новая альтернатива SSL: растет поддержка конвергенции». Информационная неделя. УБМ. Архивировано из оригинал 1 октября 2011 г.. Получено 25 сентября 2016.
- ^ Мессмер, Эллен (12 октября 2011 г.). «Индустрию сертификатов SSL можно и нужно заменить». Сетевой мир. IDG. Архивировано из оригинал 1 марта 2014 г.. Получено 25 сентября 2016.
- ^ Марлинспайк, Мокси [@moxie] (13 февраля 2013 г.). «@deviantollam К сожалению, невозможно разработать расширение для конвергентного хрома. Мы больше сосредоточились на tack.io» (Твит) - через Twitter.
- ^ «Утверждения доверия для ключей сертификатов». В архиве из оригинала на 2018-09-04. Получено 2019-06-19.
- ^ Фишер, Деннис (30 мая 2012 г.). «Мокси Марлинспайк о TACK, конвергенции и гибкости доверия». ThreatPost.
- ^ Марлинспайк, Мокси (октябрь 2012 г.). «Тревор Перрин и я на самом деле делаем ...» Хакерские новости (Форум). Получено 24 сентября 2016.
- ^ "Дополнительный репозиторий конвергенции Github".
- ^ https://www.theregister.co.uk/2011/09/03/diginotar_game_over/
- ^ https://community.qualys.com/blogs/securitylabs/2011/09/29/ssl-labs-announcing-launch-of-two-convergence-notaries
- ^ Нотариальный сервер США: https://www.ssllabs.com/convergence/notary-us.convergence.qualys.com.notary[постоянная мертвая ссылка]
- ^ https://github.com/moxie0/Convergence/wiki/Notaries
- ^ Фукс, Карл-Петер; Херрманн, Доминик; Микелони, Андреа; Федеррат, Ханнес (18 февраля 2015 г.). «Laribus: обнаружение поддельных SSL-сертификатов с сохранением конфиденциальности с помощью нотариальной сети P2P». Журнал EURASIP по информационной безопасности. 2015. Дои:10.1186 / s13635-014-0018-0. S2CID 3746068. Получено 2019-12-20.
внешняя ссылка
- «Конвергенция». Архивировано 3 августа 2016 года.. Получено 13 октября 2011.CS1 maint: BOT: статус исходного URL-адреса неизвестен (связь)
- Страница проекта конвергенции в GitHub