SSL сертификаты с поддержкой субдоменов (WildCard SSL Certificates)
Isi kandungan:
Sebagai pengguna, kami telah diajar untuk mempercayai ikon padlock yang muncul di bar alamat pelayar kami. Kami diberitahu ia menandakan komunikasi kami dengan laman web selamat.
Namun, satu kejadian minggu ini yang melibatkan Google dan sebuah syarikat keamanan Turki menyangkal pendapat itu.
Syarikat itu, TurkTrust, mendedahkan minggu ini bahawa pada bulan Agustus 2011 ia secara tidak sengaja dikeluarkan kepada dua kunci utama kepada dua "entitas. Kunci master, yang dipanggil sijil perantaraan, membenarkan entiti untuk membuat sijil digital untuk mana-mana domain di Internet.
Sijil-sijil digital sebenarnya kunci penyulitan yang digunakan untuk mengesahkan laman web adalah apa yang dikatakannya. Sijil untuk bank anda, contohnya, mengesahkan kepada penyemak imbas anda yang sebenarnya anda bercakap dengan bank anda ketika melakukan perbankan dalam talian.
[Bacaan lanjut: Cara menghapuskan malware dari PC Windows Anda]Sertifikat digunakan untuk menyulitkan maklumat antara anda dan laman web juga. Itulah padlock hijau di bar alamat pelayar anda. Pelayar berkomunikasi dengan laman web menggunakan Secure Sockets Layer, selepas pengesahan keasliannya.
Pelanggar Internet dengan sijil palsu yang boleh memintas komunikasi antara anda dan laman web yang dipercayai boleh menipu pelayar anda untuk mempercayai ia berkomunikasi dengan tapak yang dipercayai dan merampas komunikasi anda.
Ralat tetap, masalah terus
Kesilapan TurkTust telah dijumpai oleh Google pada Malam Krismas dengan ciri yang ada dalam penyemak imbas Chromenya platform yang menimbulkan bendera merah ke Google apabila seseorang cuba menggunakan platform dengan sertifikat yang tidak sah.
Setelah menemui masalah persijilan, Google memaklumkan TurkTrust tentang keadaan, serta Microsoft dan Mozilla, yang telah mengubahsuai platform pelayar mereka untuk menyekat sijil penyangak yang dibuat dengan pihak berkuasa perantaraan.
Syafu perakuan ini hanyalah tanda terbaru bahawa sistem yang sedia ada yang mengeluarkan sijil digital perlu diperbaiki. Pada Mac 2011, sebagai contoh, sebuah syarikat yang bersekutu dengan pihak berkuasa yang mengeluarkan sijil Comodo telah dilanggar dan sembilan sijil palsu yang dikeluarkan.
Kemudian pada tahun ini, penggodam melanggar kuasa sijil Belanda, DigiNotar, dan mengeluarkan puluhan sijil palsu, termasuk satu untuk Google.
Dikehendaki: Security Next-gen
Beberapa cadangan telah disiarkan untuk menangani masalah keselamatan sekitar sijil.
Terdapat Konvergensi. Ia membolehkan pelayar untuk mendapatkan pendapat kedua tentang sijil dari sumber yang dipilih oleh pengguna. "Ia adalah idea cemerlang, tetapi sebaik sahaja anda mendapat rangkaian korporat dan anda berada di belakang proksi atau di belakang penerjemah rangkaian, ia boleh pecah," kata Chet Wisniewski, penasihat keselamatan dengan Sophos, dalam temu bual.
Ada DNSSEC. Ia menggunakan sistem resolusi penamaan domain-sistem yang mengubah nama umum laman web ke dalam nombor-untuk membuat pautan yang dipercayai antara pengguna dan laman web.
"Masalahnya dengan DNSSEC adalah perlunya melaksanakan teknologi baru dan peningkatan infrastruktur yang diselaraskan sebelum kita dapat memanfaatkannya," kata Wisniewski. "Dengan kadar pengambilan yang kami lihat setakat ini, kami tidak akan mempunyai penyelesaian untuk sepuluh atau 15 tahun. Itu tidak cukup baik."
Juga dicadangkan adalah dua teknik "pinning" Lanjutan untuk HTTP dan Keterangan Terpercaya untuk Kunci Sijil (TAK), yang serupa.
Mereka membenarkan laman web meminda tajuk HTTP untuk mengenal pasti pihak berkuasa sijil yang ia percayai. Pelayar akan menyimpan maklumat itu dan hanya mewujudkan sambungan ke tapak web jika ia menerima sijil yang ditandatangani oleh pihak berkuasa sijil yang dipercayai oleh laman web.
Cadangan pinning adalah yang paling mungkin digunakan untuk menyembuhkan masalah sijil, menurut Wisniewski. "Mereka boleh diterima dengan mudah," katanya. "Mereka membenarkan orang yang ingin memanfaatkan keselamatan canggih untuk melakukannya dengan segera, tetapi ia tidak memecahkan mana-mana pelayar web yang sedia ada yang tidak dikemas kini."
Apa pun pembuat pelayar skim yang mengamalkan untuk menangani masalah sijil, mereka perlu lakukan dengan segera. Jika tidak, snafus akan terus membiak dan percaya pada Internet boleh dicederakan semula.
Amaran Sijil Keselamatan Tidak Bekerja, Penyelidik Katakan
Para penyelidik di Carnegie Mellon mengatakan bahawa pengguna sebahagian besarnya mengabaikan peringatan "perakuan yang tidak sah" pelayar kadang-kadang memaparkan.
Verizon Acer's Veriton X270 (VX270-ED7400C) melakukan tugas yang baik menggabungkan ciri-ciri yang jarang berfungsi dengan baik bersama-sama: kecil, murah, dan cepat. Ini padat (3.9 oleh 12.4 oleh 10.4 inci) PC menimbulkan bar untuk sub-sistem mini $ 500, yang menawarkan fungsi dan prestasi yang mengagumkan walaupun dimensi minitnya.
Dalam prestasi, X270 - yang menyatukan 2.8GHz Core 2 Duo Memori E7400 dan 2GB dari memori DDR2-800 - jatuh jauh dari Lenovo ThinkCentre M58p ($ 1049), dengan pemproses 3.16GHz Core 2 Duo E8500 dan memori 2GB DDR3-1066. Tetapi pada hanya $ 499 (sehingga 23 Ogos 2009), X270 juga kos kurang separuh sebanyak. The M58p melemparkan penyimpanan 250GB (berbanding 160GB X270), tetapi kedua-dua mesin menawarkan pembakar DVD standard yang kurang sokongan Blu-ray.
Perkhidmatan Microsoft Azure yang telah dikembalikan setelah diturunkan oleh Sijil SSL yang telah tamat tempoh
Pelanggan ketidakselesaan penghapusan awan terkini ialah Azure Microsoft, yang mengalami gangguan di seluruh dunia Jumaat petang kerana sijil SSL (lapisan soket selamat) yang telah tamat tempoh.