Главная » З'єднання і комутація » Сертифікат безпеки сайта ненадійний як отключіть. Браузер Chrome відмовиться від стандартної перевірки SSL-сертифікатів
Ротару:и даже после 45 лет Ваша кожа будет свежей и подтянутой, если...


Добавляю 1 каплю и СЕКС с мужем длится по 2-3 часа. Потенция железная!


Почему все аптеки молчат? Грибок ногтя боится как огня дешевого...


При простатите и вялой потенции никогда не трогайте свой...


Вам кричу! Если ноют колени и тазобедренный сустав cразу убирайте из рациона...

Сертифікат безпеки сайта ненадійний як отключіть. Браузер Chrome відмовиться від стандартної перевірки SSL-сертифікатів

Дата публікації: 07.02.2012

Один з провідних програмістів Google Адам Ленглі (Adam Langley) порівняв перевірку за списком анульованих SSL-сертифікатів з допотопними і застарілими технологіями захисту, як ремені безпеки в автомобілях. Ремінь працює 99% часу, а саме - коли він не потрібен. У разі реального ДТП він просто рветься.

Так само і з сертифікатами. Насправді ця перевірка абсолютно не гарантує користувачеві захист сайту від підміни, зате забирає у браузера велика кількість часу і гальмує установку з'єднання.

Коли браузер встановлює з'єднання з сайтом по HTTPS, він приймає підписаний сертифікат, який повинен свідчити, що даний домен дійсно той, за кого себе видає. Ці сертифікати містять посилання на сервіс, який знаходиться під управлінням центрів сертифікації (Certificate Authorities, CA) і дає браузеру актуальну інформацію.

Всі основні десктопні браузери звертаються до цих сервісів, щоб перевірити, чи не анульований сертифікат. Існує два протоколи / формату для цього: OCSP і CRL. але це не суть важливо.

Проблема з цими перевірками валідності сертифіката в тому, що браузер не може гарантувати, що він здатний встановити зв'язок з сервісом центру сертифікації. Тому якщо в результаті такої перевірки повертається помилка, то браузери її просто ігнорують і завантажують сайт, як ні в чому не бувало. Приклади реакції деяких браузерів в такій ситуації показані тут.

Виходить, що зловмисникові, який хоче пред'явити підроблений сертифікат, досить просто блокувати перевірку на анулювання сертифіката браузером, способи відомі.

Якщо ж зловмисник є власником сервера або має доступ до сервера, то він і зовсім може встановити там сертифікат від якогось альтернативного центру сертифікації. Іншими словами, всі ці перевірки на анулювання мають мало сенсу в сучасних умовах і абсолютно не захищають користувача від завантаження шкідливого контенту.

Марність такої перевірки очевидна, так навіщо ж витрачати на неї час? Середнє по медіані час однієї успішної перевірки по OCSP становить близько 300 мілісекунд, а середнє арифметичне - близько секунди. Це гальмує завантаження сторінки і змушує власників сайтів відмовлятися від використання HTTPS, так що насправді у таких перевірок одні недоліки. Є ще питання з приватних даних, тому що центр сертифікації отримує IP-адреси всіх відвідувачів сайту.

У зв'язку з усім вищесказаним, компанія Google планує відключити онлайнові перевірки анульованих сертифікатів в майбутніх версіях Chrome. Правда, щодо сертифікатів вищого класу EV остаточне рішення поки не прийнято.

Замість стандартної методики браузер Chrome тепер буде використовувати офлайновую базу анульованих сертифікатів і оновлювати її через софтверні апдейти. Недолік такого методу тільки в тому, що користувачеві потрібно перезавантажити браузер. Ну а перевага зрозуміло - сайти почнуть завантажуватися швидше, а браузер Chrome сам візьме на себе частину функцій центру сертифікації.

Ось інструмент для перегляду і парсинга списку анульованих сертифікатів Chrome: https: // github. com / agl / crlset-tools.

Ротару:и даже после 45 лет Ваша кожа будет свежей и подтянутой, если...


Добавляю 1 каплю и СЕКС с мужем длится по 2-3 часа. Потенция железная!


Почему все аптеки молчат? Грибок ногтя боится как огня дешевого...


При простатите и вялой потенции никогда не трогайте свой...


Вам кричу! Если ноют колени и тазобедренный сустав cразу убирайте из рациона...