Co si mám představit pod „fake certifikát“?
a. Neplatný certifikát – k tomu CT neslouží.
b. Certifikát vydaný někomu, komu nepatří – wildcardy tu nic nemění.
c. Certifikát po technické stránce naprosto vpohodě, ale na doménu, která se plete s jinou – pravda, tady to wildcardy ztěžují, ale skrýt lze pouze jednu (nejnižší?) úroveň.
Případ (c) je právě ten problém. Doteď stačilo sledovat v CT certifikáty, které začínají na, řekněme, paypal
a teoreticky bylo možné proti phishingu zakročit ještě předtím, než stihl útočního rozeslat e-maily. S wildcardem se takové doménové jméno odhalí až v momentě, kdy ho najde třeba Google crawler.
Doteď stačilo sledovat v CT certifikáty, které začínají na, řekněme, paypal a teoreticky bylo možné proti phishingu zakročit ještě předtím, než stihl útočního rozeslat e-maily.
No to je právě chybné uvažování. Zpětné vychytávání z CT logu je metoda jakési zpětné, heuristické analýzy. Nikdy nebude dobrá, bude zatížená falešně pozitivními výsledky apod.
CT je drbátko na drbátko, a sledování CT je drbátko na drbátko na drbátko. Sakra, blechy nikde, ale proč mám rozedřenou kůži?
Certificate Transparency je určeno právě k tomu sledování, aby bylo možné chybně vydaný certifikát odhalit hned, jak je vydán, a ne až v okamžiku, kdy řešíte průšvih, že se na něj někdo nachytal. Samozřejmě, není to ideální řešení, ale je to celkem rozumná pojistka ve světě, kde existuje spousta certifikačních autorit akceptovaných jako důvěryhodné, přičemž bezpečnost verifikace vlastníka doménového jména je dost pochybná. Ideální řešení by samozřejmě bylo DV certifikáty úplně zrušit a veřejné klíče načítat z DNS, jednou do toho stavu možná dospějem, ale CT „jen“ zlepšuje aktuální stav.