DNS based validation with Go daddy
차례:
소비자로서 우리 브라우저의 주소 표시 줄에있는 자물쇠 아이콘을 신뢰하는 법을 배웠습니다. 우리는 웹 사이트와의 통신이 안전하다는 신호라고 알려줍니다. 그러나 이번 주 구글과 터키 보안 회사와 관련된 사건으로이 개념이 거짓으로 드러났다.
TurkTrust는 이번 주에 2011 년 8 월 두 개의 마스터 키를 우연히 두 개의 엔티티에 발행했다고 발표했다. 중간 인증서라고하는 마스터 키는 엔티티가 인터넷의 모든 도메인에 대한 디지털 인증서를 만들도록 허용합니다.
디지털 인증서는 실제로 웹 사이트가 말하는대로를 확인하는 데 사용되는 암호화 키입니다. 예를 들어 은행 인증서는 온라인 뱅킹을 할 때 실제로 은행과 통화하고 있는지 확인합니다.
[추가 정보: Windows PC에서 악성 코드 제거 방법]인증서가 사용됩니다 당신과 웹 사이트 간의 정보를 암호화하는 것. 브라우저의 주소 표시 줄에있는 녹색 자물쇠가 의미하는 바입니다. 브라우저는 진위 여부를 확인한 후 SSL (Secure Sockets Layer)을 사용하여 웹 사이트와 통신하고 있습니다.
위조 된 인증서를 가진 인터넷 사용자가 귀하와 신뢰할 수있는 웹 사이트 간의 통신을 가로 챌 수 있으므로 브라우저가 신뢰할 수있는 사이트와 통신하고 있다고 믿게 만들 수 있습니다 그리고 당신의 커뮤니케이션을 공중 납치하십시오. 도둑이 당신과 신뢰할 수있는 사이트 사이에 있기 때문에 "중간 공격의 남자"라고합니다.
오류가 계속되고, 문제가 계속됩니다.
ChromeTooth의 Google 팀에서 크리스마스 이브에있는 TurkTust의 실수를 Chrome 브라우저 누군가가 승인되지 않은 인증서로 플랫폼을 사용하려고 시도 할 때 Google에 붉은 깃발을 꽂습니다.
Google은 인증서 문제를 발견 한 후 TurkTrust에 브라우저 플랫폼을 모두 수정 한 Microsoft 및 Mozilla와 같은 상황을 통보했습니다 중간 인증 기관을 통해 생성 된 불량 인증서를 차단합니다.
이 인증서는 디지털 인증서를 발급하는 기존 시스템이 수정해야하는 최신 기호 일뿐입니다. 예를 들어, 2011 년 3 월에 인증서 발급 기관인 Comodo와 제휴 한 회사는 위반되었으며 9 개의 가짜 인증서가 발급되었습니다.
해커는 네덜란드 인증 기관인 DigiNotar를 위반하고 수십 개의 가짜 인증서를 발급했습니다. Google.
차세대 보안
인증서를 둘러싼 보안 문제를 해결하기 위해 많은 제안이 방송되었습니다.
컨버전스가 있습니다. 브라우저가 사용자가 선택한 출처의 인증서에 대한 두 번째 의견을 얻을 수 있습니다. Sophos의 보안 고문 인 Chet Wisniewski는 인터뷰에서 "멋진 아이디어이지만, 회사 네트워크에 접속하자마자 프록시 나 네트워크 통역사의 배후에서 망가질 수 있습니다. > DNSSEC가 있습니다. 웹 사이트의 일반적인 이름을 숫자로 바꾸는 시스템 인 도메인 명명 해결 시스템을 사용하여 사용자와 웹 사이트간에 신뢰할 수있는 링크를 만듭니다. 시스템이 이해하기 쉽지 않을뿐만 아니라 구현에 수년이 걸릴 수도 있습니다. "DNSSEC의 문제는 새로운 기술을 구현하고 인프라를 조율하여 업그레이드해야만 활용할 수 있다는 것입니다."라고 Wisniewski는 말했습니다. "우리가 지금까지 보았던 채택률로 10 년에서 15 년 동안 해결책을 찾지 못할 것이라는 것만으로는 충분하지 않습니다."
두 가지 "고정"기법 인 공개 키 고정 HTTP 확장 및 TACK (Trusted Assertions for Certificate Keys)과 유사합니다.
웹 사이트에서 HTTP 헤더를 수정하여 신뢰할 수있는 인증 기관을 식별 할 수 있습니다. 브라우저는 해당 정보를 저장하고 웹 사이트가 신뢰할 수있는 인증 기관이 서명 한 인증서를 받으면 웹 사이트에 대한 연결 만 설정합니다.
핀슈 제안은 Wisniewski에 따르면 인증서 문제를 해결하기 위해 채택 될 가능성이 가장 높습니다. "그들은 짧은 시일 내에 채택 될 수있다"고 그는 말했다. "고급 보안 기능을 사용하려는 사람들은 즉시 그렇게 할 수 있지만 업데이트되지 않은 기존 웹 브라우저는 손상되지 않습니다."
브라우저 제조업체가 인증서 문제를 해결하기 위해 어떤 방법을 채택하더라도 곧해라. 그렇지 않으면 snafus가 계속 확산되어 인터넷에 대한 신뢰가 돌이킬 수없는 손상을 입을 수 있습니다.
보안상의 위험성이있는 URL 단축키
Google과 Facebook은 URL 단축에 뛰어 들고 있지만 링크 단축 서비스의 폭발은 보안과 함께 제공됩니다 또한 긴 URL을보다 관리하기 쉬운 길이로 줄이는 옵션은 Google과 Facebook이 링크 단축 게임에 들어가면서 빠르게 확산되고 있습니다. 단축 URL은 이메일을 통해보다 쉽게 전송할 수 있으며 트위터의 140 자 제한에 대한 요구 사항이지만 보안 위험도 발생합니다.
Microsoft는 Windows Vista 용 자동 업데이트 대화 상자에서 자동 실행 항목을 CD 및 DVD 드라이브로만 제한하는 업데이트를 출시했습니다. 보안상의 이유로 Microsoft는 자동 실행 대화 상자의 자동 실행 항목을 CD 및 DVD 드라이브로만 제한하는 Windows Vista 업데이트를 출시했습니다.
자동 실행 제한을위한 업데이트
HTTPS 및 SSL 관련 문제가 없습니다.
HTTPS 및 SSL은 훌륭하지만,이 프로토콜은 완벽하게 보이지 않습니다. 네, 보안은 당신이지만 몇 가지 문제가 존재합니다.