Urząd certyfikacji | weryfikacja domen

Weryfikacja domen

Komercyjne urzędy certyfikacji, które wydają większość świadectw potwierdzanych przez klientów poprzez serwery e-mail i publiczne serwery HTTPS, zazwyczaj używają techniki zwanej weryfikacją domeny (ang. domain validation) do uwierzytelniania odbiorcy certyfikatu. Sprawdzanie poprawności domeny polega na wysłaniu e-maila zawierającego token uwierzytelniający lub link do adresu e-mail, który jest uznany za administracyjnie odpowiedzialny za domenę. To może być techniczny, kontaktowy adres e-mail wymieniony we wpisie WHOIS domeny lub administracyjny e-mail taki jak postmaster@ lub root@ domena. Teoria sprawdzania domen jest taka, że tylko potwierdzony właściciel domeny będzie w stanie czytać e-maile wysyłane do tych administracyjnych adresów.

Walidacja domen jest podatna na ataki, ponieważ posiada pewne strukturalne ograniczenia bezpieczeństwa, pozwalające włamywaczowi obserwować wiadomości dotyczące sprawdzania autentyczności domeny wysyłane przez urząd certyfikacji. Mogą to być ataki np. przeciwko protokołom DNS, TCP lub BGP – niemającym zabezpieczeń kryptograficznych TLS/SSL. Takie włamania są możliwe zarówno w sieci w pobliżu urzędu, jak i blisko samej domeny ofiary.

Niektóre ośrodki certyfikacji oferują rozszerzoną walidację zaświadczeń (ang. Extended Validation, w skrócie EV) jako bardziej rygorystyczna alternatywa dla certyfikatów potwierdzających domeny. Jednym z ograniczeń EV jako rozwiązania słabości metody sprawdzania domen jest to, że napastnik może nadal uzyskać certyfikat weryfikacyjny do upatrzonej domeny i wykorzystać go podczas ataku; jeśli to nastąpiło, jedyną różnicą zauważalną dla użytkownika–ofiary będzie niebieski pasek adresu HTTPS zamiast zielonego. Niewielu użytkowników mogłoby uznać tę różnicę za oznakę trwającego ataku.

Wdrożenie metody walidacji domen także jest czasami źródłem luk w zabezpieczeniach. W jednym przypadku specjaliści od zabezpieczeń wykazali, że napastnik może uzyskać certyfikaty dla stron typu webmail, bo centrum certyfikacji było gotowe użyć adresu e-mail takiego jak SSLCertificates@example.com dla example.com, lecz nie wszystkie systemy pocztowe wykorzystujące przeglądarkę internetową zarezerwowały nazwę użytkownika „SSLCertificates” w celu ochrony przed zarejestrowaniem jej przez atakującego.

Inne języki