msgbartop
Alles über Google Chrome & Google Chrome
msgbarbottom

21 Februar 12 Symantec kritisiert Google für Stripping Sicherheitszertifikat überprüft von Chrome


Stripping OCSP (Online Certificate Status Protocol) und CRL (Certificate Revocation List) Schecks von Google Chrome haben könnte gefährliche Auswirkungen, weil es Google in einen Single Point of Failure wiederum, nach Security-Anbieter Symantec.

Beim Zugriff auf eine Website über HTTPS, Browsern zu testen, ob ihr SSL-Zertifikat von der ausstellenden Zertifizierungsstelle wurde widerrufen. Dies wird durch Abfragen der CA OCSP-Responder oder durch Überprüfen der veröffentlichten Sperrliste getan.

Für Usability-Gründen, alle derzeit gängigen Browsern ignorieren OCSP-und CRL Anfragen, die den Netzwerk-Fehler standardmäßig, in welcher als weiche Treffsicher Mechanismus bekannt. Jedoch, einige von ihnen bieten dem Anwender die Möglichkeit, hart ausfallen ermöglichen, welche Fehler auslöst, für jede Anfrage, die unbeantwortet geht.

Adam Langley, Sicherheitsingenieur bei Google, hat angekündigt, dass Chrome stoppt Durchführung OCSP-und CRL Schecks in zukünftigen Versionen. Stattdessen, diese Kontrollen sind, um mit einer lokal zwischengespeicherten Liste der gesperrten Zertifikate, die auf dem neuesten Stand gehalten werden, wird von Google ersetzt werden.

Die Gründe für die Entscheidung sind, um die Leistung und Sicherheit Fragen im Zusammenhang. OCSP-und CRL Zugriffe erhöhen Ladezeiten und sind anfällig für Sperrung von Man-in-the-Middle-Angreifer oder Captive Portals, Webseiten üblicherweise von WLAN-Zugang verwendet, verweist auf HTTP-Verbindungen zu verhindern, bevor Benutzer zu authentifizieren.

“Dies ist eine Ecke Fall, der sehr selten geschieht. Wir argumentieren, dass man nicht verwerfen OCSP-und CRL, weil sie nicht in einem winzigen Bruchteil der Fälle nicht funktionieren,” sagte Fran Rosch, Vice President of Trust Services und SSL bei Symantec. “Sein Vorschlag, damit der Browser eine Liste der gesperrten Zertifikate wird Google zu einem Single Point of Failure, Welche Langley sich damit einverstanden ist schlecht Ingenieurpraxis.”

Nach Rosch, die weiche Fail Mechanismus gegenwärtig von Browsern verwendet wird, ist das wirkliche Problem, da sie es erlaubt HTTPS-Sessions, ohne festzustellen, ob das SSL-Zertifikat gültig ist oder nicht weiter. Symantec hat eine Verfügbarkeit von beibehalten 100 Prozent für die OCSP-und CRL Dienstleistungen für den letzten zehn Jahren, so CA-Ebene Ausfallzeiten sollte kein Problem sein, sagte er.

“OCSP eindeutig nicht funktioniert, weil alle heute gängigen Browsern funktionieren sie in weichen Fail-Modus. Das muss repariert werden,” sagte Ivan Ristic, Director of Engineering bei Sicherheitsfirma Qualys. “Meine Ansicht ist, dass Google sollte zuerst gemacht haben sich bemüht, das Problem zu beheben,” sagte er.

Qualys plant, ein Projekt mit dem Namen beginnen “Globale Überwachung der OCSP-Responder” was wird verfolgen die Verfügbarkeit aller OCSP-Responder zu identifizieren und CAs mit unzuverlässigen diejenigen. “Das wäre hoffentlich ermöglichen jedermann zu wechseln hart standardmäßig scheitern,” Ristic sagte.

Gemäß Ristic, die Leistungsprobleme könnte mit Hilfe einer Technik als OCSP-Heften bekannt gelöst werden, was beinhaltet die Besitzer eines SSL-Zertifikat der CA Abfrage OCSP-Server in regelmäßigen Abständen und Caching eine signierte Antwort. Diese Antwort würde dann die Kunden direkt bedient werden, ohne dass sie dazu, eine Verbindung zu einem separaten Host öffnen.

“Auch ohne OCSP-Heften, Browser starten können, um eine Website anzuzeigen, und führen Sie die Prüfung im Hintergrund, so gibt es nicht gehen, um eine unmittelbare Auswirkung auf die Leistung sein,” Ristic sagte. “Sie konnten sich schwer nach ein oder zwei Sekunden scheitern, möglicherweise Verhinderung einer weiteren Interaktionen mit der Website.”

Entfernen von OCSP-Schecks von Google Chrome könnte sogar juristische Konsequenzen für die Nutzer, wer nicht in der Lage, Haftung für Schäden, die aus der Nutzung von Zertifikaten schlecht behaupten, wenn die Software sie verlassen sich auf nicht machen muss sich bemühen, Zertifikatsperrliste Status zu überprüfen, , sagt Eddy Nigg, Gründer und Chief Technology Officer der Zertifizierungsstelle StartCom, per E-Mail.

“Streng genommen, Google als einer vertrauenden Partei-und Softwarehersteller möglicherweise nicht in der Lage, den Einsatz der CA-Stammzertifikate seinen Browser nutzt derzeit machen, wegen Nichterfüllung zu diesen vertrauenden Partei Verpflichtungen,” Nigg sagte.

Nigg vereinbart, dass das Problem der weiche Fail-Mechanismus in Browsern implementiert ist, die er beschrieben als ein Scheitern an sich. “Es ist vielmehr die Browser, die relativ schwach Implementierungen haben an ihrer Seite und nicht hart genug versuchen (und klug genug) zur Erlangung eines Status als Reaktion,” sagte er.

Artikel Quelle: http://rss.feedsportal.com/c/270/f/470440/s/1cc94381/l/0Lnews0Btechworld0N0Capplications0C33386850Csymantec0Ecriticises0Egoogle0Efor0Estripping0Esecurity0Ecertificate0Echecks0Efrom0Echrome0C0Dolo0Frss/story01.htm

Stichworte: , , ,

Kommentare sind geschlossen.