Hlavní navigace

Google: zveřejnění TLS certifikátů bude za rok povinné

Petr Krčmář 27. 10. 2016

Google oznámil, že od října 2017 bude u HTTPS certifikátů vyžadovat Certificate Transparency. Autority budou mít povinnost certifikáty zveřejňovat, jinak nebudou v Chrome důvěryhodné.

Vývojářský tým prohlížeče Chrome oznámil, že od října 2017 začne v prohlížeči vynucovat podporu Certificate Transparency (CT). Certifikáty vydané po tomto datu musí být zveřejněny v databázi CT a musí být opatřeny potvrzovacím razítkem Signed Certificate Timestamp (SCT). Pokud tomu tak nebude, odmítne Chrome certifikátu důvěřovat.

Chrome tým věří, že ekosystém Certificate Transparency se vyvinul dostatečně na to, že pro tento požadavek je říjen 2017 realistické a dosažitelné datum, píše se v oznámení. Pokud má někdo proti tomuto datu výhrady, měl by se obrátit na pracovní skupinu Public Notary Transparency při IETF. Protože ke změně dojde už za rok, vyzývají vývojáři k rychlému připomínkování během následujících tří měsíců. Poté proběhne veřejná diskuse, která by měla připomínky vypořádat.

Vývojáři chtějí zároveň na IETF představit novou HTTP hlavičku, která umožní webům deklarovat povinné použití CT ještě před tímto datem. Certifikační autority se mohou také přihlásit a nechat v prohlížeči pro své certifikáty povinnou podporu CT zapnout dříve. Takový krok umožní autoritě lépe ochránit uživatele, detekovat zneužití a potvrdit jeho rozsah. Umožní to prohlížečům přijmout cílenější kroky k vyřešení problému a zároveň minimalizovat dopad na uživatele.

Jak to bude fungovat?

Podrobnému rozboru Certificate Transparency se před rokem věnoval ve svém článku Ondrej Mikle. Jde o vybudování distribuované databáze certifikátů, do které mohou autority přidávat vystavené certifikáty. Ty jsou napevno vloženy do Merklova stromu a provázány pomocí hešů a kořen je podepsán známým certifikátem. Kdokoliv tak má možnost ověřit, že daný certifikát byl v CT zveřejněn.

Můžete tak například vyhledávat v seznamu certifikátů vydaných Let's Encrypt. Najdete tam například současný certifikát Root.cz.

Certifikát může být do databáze CT vložen kýmkoliv, ale obvykle to dělá autorita při jeho vystavení. Odesílatel o tom dostane podepsané potvrzení v podobě Signed Certificate Timestamp (SCT). To obsahuje informace identifikující certifikát, čas jeho vložení a ID konkrétního serveru, který potvrzení vydal.

Za rok bude tedy prohlížeč Chrome (a později snad i další) vyžadovat, aby kromě samotného certifikátu viděl i SCT jako nezvratný důkaz o zveřejnění certifikátu v logu. U podpisu SCT také ověří jeho pravost a pokud bude vše v pořádku, bude pokračovat v navazování TLS spojení. Klienti tak vlastně tímto způsobem vynutí zveřejňování všech vydávaných certifikátů ve veřejných CT databázích.

V tuto chvíli už některé autority vystavované certifikáty do logu vkládají, ale většina z nich (včetně Let's Encrypt) musí ještě implementovat doručování potvrzení SCT k uživatelům. To je možné udělat jedním ze tří způsobů – jako X.509v3 rozšíření přímo v certifikátu, jako součást odpovědi OCSP nebo jako rozšíření TLS protokolu během navazování spojení (handshake). Poslední zmíněná možnost samozřejmě vyžaduje podporu na straně serveru. V každém případě jsou razítka velmi malá a mají méně než 100 bytů, takže komunikaci nijak razantně nenafukují.

Už nyní Chrome tyto informace ověřuje a je schopen je zobrazit. Postup je následující: kliknete na zámeček u HTTPS a vyberete Podrobnosti. Otevře se konzole a na ní karta Security. Poté musíte znovu načíst stránku – teprve poté se v levé části konzole objeví jednotlivé zdroje. Po výběru zdroje je pak v pravé části sekce Certificate Transparency.

Co to řeší?

Především se z Certificate Transparency stane do roka nástroj, který dovoluje komukoliv sledovat certifikáty vystavené libovolnou důvěryhodnou autoritou. Už teď existují nástroje, které vám umožňují hlídat certifikáty pro vaše domény a pokud dojde k vystavení nového, automaticky vás upozorní. Jedním z nich je například Cert Spotter.

Cílem je předejít nejrůznějším excesům, zejména neoprávněně vydaným certifikátům. Mnoho autorit s tím má své zkušenosti: WoSign, Comodo, DigiNotar, Symantec a mnohé další. Pokud budou skutečně všechny certifikáty takto zveřejněné, zabrání to cílené manipulaci a chyby budou odhaleny velmi rychle.

Našli jste v článku chybu?

27. 10. 2016 14:16

Sten (neregistrovaný)

Všechny platné certifikáty, na které narazil Google Bot (který buduje jeden z logů), mají s celým stromem okolo 50 GiB. I kdyby se vydávaly každý měsíc nové, tak je to naprosto zanedbatelné ve srovnání třeba s YouTube, kde jde měsíčně o stovky terabajtů nových videí.

Pro ověření navíc nepotřebuješ celou kopii. Stačí ti znát hash v určitou dobu (který jsi vypočítal třeba při předchozím ověřování), z toho pak můžeš snadno dopočítat (a ověřit) novější hashe. Všechny nové certifikáty musí být nověj…

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Pečete cukroví a zbyl vám bílek?

Pečete cukroví a zbyl vám bílek?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka