Obey Peringatan Sijil Pelayar Berkat Kecacatan DNS

Walau bagaimanapun, ada satu lagi amaran yang perlu saya lalui. Oleh kerana kecacatan ini membolehkan penyerang untuk meracuni DNS bagi sesiapa yang sistemnya menyambung ke pelayan DNS yang tidak dipasang, penyerang juga boleh memintas perlindungan yang dibina dalam sesi Web yang disulitkan.

Penyulitan web menggunakan SSL / TLS (Layer Soket Layer / Transport Layer Keselamatan), satu standard yang bergantung kepada tiga kaedah untuk memastikan bahawa penyemak imbas anda hanya menyambungkan kepada pihak yang betul di hujung yang lain untuk pautan terjamin.

[Bacaan lanjut: Kotak NAS terbaik untuk streaming media dan sandaran]

Pertama, setiap pelayan Web yang menggunakan SSL / TLS perlu mempunyai sijil, sama ada satu setiap pelayan atau sijil kumpulan. Sijil ini mengenal pasti pelayan.

Kedua, sijil mengikat nama domain pelayan. Anda boleh mendapatkan sijil untuk www.infoworld.com dan menggunakannya dengan www.pcworld.com.

Ketiga, identiti parti yang meminta sijil untuk nama domain diberikan disahkan oleh pihak berkuasa sijil. Firma yang beroperasi seperti pihak berkuasa mengesahkan identiti orang dan syarikat yang meminta sijil, dan kemudian mewujudkan sijil dengan rahmat mereka secara kriptografi terikat ke dalamnya. Tahap pengesahan yang lebih tinggi kini tersedia, itulah sebabnya anda melihat kawasan hijau besar di lokasi yang difailkan dari versi terkini Internet Explorer dan Firefox, yang menunjukkan bahawa pengesahan lanjutan telah dilakukan.)

Pihak berkuasa sijil ini sendiri mempunyai set sijil yang membuktikan identiti mereka, dan yang telah dipasang di pelayar dan sistem operasi. Apabila anda menyambung ke pelayan Web, penyemak imbas anda mendapatkan sijil awam sebelum memulakan sesi, mengesahkan bahawa alamat IP dan nama domain sepadan, mengesahkan integriti sijil, dan kemudian memeriksa tandatangan pihak berkuasa untuk kesahihannya.

Jika sebarang ujian gagal, anda diberi amaran oleh penyemak imbas anda. Dengan kecacatan DNS, penyerang boleh mengarahkan sesi perbankan atau e-dagang anda ke versi laman web selamat mereka yang dikendalikan oleh pelbagai firma, dan pelayar anda tidak akan melihat perbezaan alamat IP, kerana nama domain dalam sijil palsu akan sepadan dengan IP alamat bahawa penyerang telah ditanam.

Namun, penyemak imbas anda akan perhatikan bahwa tidak ada tandatangan pihak berkuasa sertifikat yang dipercayakan. (Setakat ini, tiada laporan kejuruteraan sosial berjaya pihak berkuasa ini terikat dengan kecacatan DNS.) Penyemak imbas anda akan memberitahu anda bahawa sijil ditandatangani sendiri, yang bermaksud penyerang menggunakan jalan pintas dan meninggalkan tandatangan pihak berkuasa, atau menggunakan pihak berkuasa yang tidak dipercayai, bahawa penyerang mencipta diri mereka sendiri. (Ia tidak penting untuk membuat pihak berkuasa menggunakan alat sumber terbuka, dan ini berguna dalam syarikat dan organisasi Saya telah melakukannya sendiri Tetapi pihak berkuasa bebas tidak disahkan oleh penyemak imbas melainkan anda secara berasingan memasang sijil pada mesin tersebut dengan tangan.)

Amaran saya di sini ialah jika anda mendapat sebarang perakuan atau peringatan SSL / TLS dari penyemak imbas anda, hentikan sambungan, hubungi ISP atau jabatan IT anda, dan jangan masukkan sebarang maklumat peribadi atau syarikat.