Jump to content

Конвергенция (SSL)

Add links
Конвергенция
Финальный выпуск
0,09 (клиент) / 07.03.2012
Репозиторий
Написано в Питон, JavaScript
Операционная система Windows, OS X, Линукс
Доступно в Английский
Тип просмотр веб-страниц
Лицензия лицензия GPLv3
Веб-сайт См. Архивировано 3 августа 2016 г. на Wayback Machine.

Конвергенция — это предложенная стратегия замены SSL центров сертификации , впервые предложенная Мокси Марлинспайком в августе 2011 года во время выступления под названием «SSL и будущее аутентификации» на конференции по безопасности Black Hat . [1] Это было продемонстрировано с помощью надстройки Firefox и серверного демона -нотариуса .

В своем выступлении Марлинспайк предположил, что все текущие проблемы с системой центров сертификации (CA) можно свести к одному недостающему свойству, которое он назвал «гибкостью доверия» и которое призвана обеспечить конвергенция. Стратегия утверждала, что она гибкая, безопасная и распределенная. [2] [3]

По состоянию на 2013 год [4] Марлинспайк сосредоточился на предложении IETF под названием TACK. [5] который был разработан как бесспорный первый шаг, который выступает за динамическое закрепление сертификата вместо полной замены центра сертификации и уменьшает количество случаев, когда третьей стороне необходимо доверять. [6] [7]

Разработка Convergence продолжалась в виде вилки Convergence Extra примерно до 2014 года. [8] [ нужен сторонний источник ]

Фон

[ редактировать ]

Конвергенция была основана на предыдущей работе проекта «Перспективы» в Университете Карнеги-Меллон . Как и Perspectives, Convergence аутентифицировал соединения, обращаясь к внешним нотариусам, но в отличие от Perspectives, нотариусы Convergence могли использовать ряд различных стратегий, выходящих за рамки сетевой перспективы, чтобы вынести вердикт.

Конвергенция по сравнению с обычным SSL

[ редактировать ]

Целью центра сертификации в традиционной системе SSL является подтверждение идентичности сайта путем проверки его сертификата SSL. Без какого-либо удостоения человек открыт для атаки «человек посередине» . За один сайт ручается только один центр сертификации (ЦС), и пользователь должен доверять этому ЦС. Веб-браузеры обычно включают список доверенных центров сертификации по умолчанию и отображают предупреждение о «ненадежном соединении», когда сайт не может быть предоставлен доверенным центром сертификации. Проблема этой системы заключается в том, что если пользователь (или поставщик браузера) теряет доверие к ЦС, удаление ЦС из списка доверенных центров браузера означает потерю доверия ко всем сайтам, которые использовали этот ЦС. Это произошло, когда основные браузеры потеряли доверие к DigiNotar CA. [9] и сайты, зарегистрированные в этом ЦС, должны были получить новые центры сертификации ( см. в разделе «Компрометация центра сертификации № CA» дополнительные примеры нарушений доверия ).

Однако в случае конвергенции существовал определенный уровень избыточности и не было единой точки отказа . несколько нотариусов За один участок могли поручиться . Пользователь мог довериться нескольким нотариусам, большинство из которых поручились бы за одни и те же сайты. Если нотариусы не пришли к согласию относительно правильности идентификации сайта, пользователь мог выбрать решение большинства голосов или проявить осторожность и потребовать согласия всех нотариусов, или довольствоваться одним нотариусом (метод голосования контролировался). с настройкой в ​​дополнении браузера). Если пользователь решил не доверять определенному нотариусу, невредоносному сайту все еще можно доверять, пока ему доверяют остальные доверенные нотариусы; таким образом, больше не было ни одной точки отказа.

В сентябре 2011 года Qualys объявила, что будет управлять двумя нотариальными серверами. [10] По состоянию на июнь 2016 г. эти серверы оказались недоступными. [11] Список нотариусов поддерживался на вики Конвергенции. [12]

Альтернативы

[ редактировать ]
  • Проект Monkeysphere пытается решить ту же проблему, используя PGP модель сети доверия для оценки подлинности сертификатов https. [13]
  • Закрепление открытого ключа HTTP — это механизм безопасности, который позволяет веб-сайтам HTTPS противостоять выдаче себя за другое лицо злоумышленниками, использующими неправильно выданные или иным образом поддельные сертификаты.

Ссылки

[ редактировать ]
  1. ^ «SSL и будущее подлинности» . Ютуб .
  2. ^ Шварц, Мэтью Дж. (30 сентября 2011 г.). «Новая альтернатива SSL: поддержка растет в целях конвергенции» . Информационная неделя . УБМ. Архивировано из оригинала 1 октября 2011 г. Проверено 25 сентября 2016 г.
  3. ^ Мессмер, Эллен (12 октября 2011 г.). «Индустрия SSL-сертификатов может и должна быть заменена» . Сетевой мир . ИДГ. Архивировано из оригинала 1 марта 2014 г. Проверено 25 сентября 2016 г.
  4. ^ Марлинспайк, Мокси [@moxie] (18 февраля 2013 г.). «@deviantollam К сожалению, невозможно разработать конвергентное расширение для Chrome. Мы больше внимания уделяем http://tack.io» ( Твит ) – через Твиттер .
  5. ^ «Утверждения доверия для ключей сертификата» . Архивировано из оригинала 04 сентября 2018 г. Проверено 19 июня 2019 г.
  6. ^ Фишер, Деннис (30 мая 2012 г.). «Мокси Марлинспайк о TACK, конвергенции и гибкости доверия» . ThreatPost .
  7. ^ Марлинспайк, Мокси (октябрь 2012 г.). «Мы с Тревором Перрином на самом деле делаем…» Hacker News (Форум) . Проверено 24 сентября 2016 г.
  8. ^ "мк-фг/конвергенция" . 27 августа 2020 г. – через GitHub.
  9. ^ Гудин, Дэн. «Голландский центр сертификации пожизненно изгнан из Chrome и Firefox» . www.theregister.com .
  10. ^ «SSL Labs: объявляет о запуске двух нотариусов Конвергенции» . Блог Qualys по безопасности . 29 сентября 2011 г.
  11. ^ Нотариальный сервер США: https://www.ssllabs.com/convergence/notary-us.convergence.qualys.com.notary. [ постоянная мертвая ссылка ]
  12. ^ "moxie0/Конвергенция" . Гитхаб .
  13. ^ Фукс, Карл-Петер; Херрманн, Доминик; Микелони, Андреа; Федеррат, Ханнес (18 февраля 2015 г.). «Laribus: обнаружение поддельных SSL-сертификатов с сохранением конфиденциальности с помощью социальной нотариальной P2P-сети» . EURASIP Журнал по информационной безопасности . 2015 . дои : 10.1186/s13635-014-0018-0 . S2CID   3746068 . Проверено 20 декабря 2019 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Convergence_(SSL)&oldid=1232632768"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 480742b5f87b24fe0649c1b9336dbd7d__1720110540
URL1:https://arc.ask3.ru/arc/aa/48/7d/480742b5f87b24fe0649c1b9336dbd7d.html
Заголовок, (Title) документа по адресу, URL1:
Convergence (SSL) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)