Certificate Transparency

Podobné dokumenty
Certificate Transparency

Certifikáty, šifry a klíče aneb jak nasadit HTTPS

Role certifikátu při zabezpečení šifrovaného spojení

Současné problémy certifikačních autorit

Jen správně nasazené HTTPS je bezpečné

HTTP hlavičky pro bezpečnější web

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

Let s Encrypt nahoďte šifrování na webu

TLS certifikát pod mikroskopem

Let s Encrypt pojďme šifrovat na webu zadarmo

Bezpečnější pošta aneb DANE for SMTP

Protokoly omezující moc certifikačních autorit

Komu to věříme? Pohled mezi důvěryhodné certifikační autority

OpenSSL a certifikáty

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Alpine Linux: minimalistická distribuce nejen na server

Bezpečnější pošta díky DANE

Uživatelská dokumentace

JSEM ELEKTRONICKÁ IDENTITA. VĚŘÍTE MI? Jiří Bořík CESNET Olomouc

Útoky na certifikační autority a SSL

Instalace Debianu pomocí debootstrap

Uvedené dílo (s výjimkou obrázků) podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Zabezpečení dat pomocí SSL přehled důvěryhodných certifikačních autorit na trhu. Petr Komárek, Jindřich Zechmeister ZONER software, a.s.

SSH: dálková správa serveru

StartSSL: certifikáty zdarma

DIGITÁLNÍ IDENTITY. Jiří Bořík CESNET. konference e-infrastruktury CESNET 2019 Praha

Ochrana soukromí v DNS

DIGITÁLNÍ IDENTITY. Jiří Bořík CESNET. CESNET Day České Budějovice

Zpráva pro uživatele CA

Přesunutí poštovní schránky ze stávajícího serveru do systému MS Exchange si vyžádá na straně uživatele změnu nastavení poštovního klienta.

Co musíte vědět o šifrování

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Co musíte vědět o šifrování

Bezpečnost internetového bankovnictví, bankomaty

Nginx v roli web serveru

Šifrovaný disk v Linuxu

Návod na nastavení připojení k drátové síti na kolejích Jana Opletala pro operační systém MS Windows 10

Kerio VPN Client. Kerio Technologies

Úvod. Klíčové vlastnosti. Jednoduchá obsluha

informačního systému Uživatelská příručka Konfigurace klientských statnic

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

CZ.1.07/1.5.00/

INTERNETOVÉ BANKOVNICTVÍ

Bezpečnost je jedna, v drátu i bezdrátu

Ondřej Caletka. 13. března 2014

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

HTTPS na virtuálních web serverech

Digitální důvěra osnova přednášky

1. SYSTÉMOVÉ POŽADAVKY / DOPORUČENÁ KONFIGURACE HW A SW Databázový server Webový server Stanice pro servisní modul...

Zpráva pro uživatele CA

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Falšování DNS s RPZ i bez

Certifikační autorita EET. Veřejný souhrn certifikační politiky

Pokročilé Webové služby a Caché security. Š. Havlíček

eduroam - nastavení v MS Windows 7/8/8.1/10 1 Konfigurace pomocí asistenta eduroam CAT

Projekt 2 - Nejčastější chyby. Ing. Dominik Breitenbacher

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

vpsfree.cz: komunitní platforma pro virtuální servery

Jak funguje internet?

Zpráva pro uživatele CA

Bezpečnější bezpečnější díky DANE

Zpráva pro uživatele TSA

Osobní archivy publikovaných odborných prací v medicíně jako součást Digitální knihovny NLK

Předcházení problémů s certifikátem pro podpis v aplikaci MS Verze 2.0.

Uživatelská dokumentace

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

Zpráva pro uživatele TSA

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

(5) Klientské aplikace pro a web, (6) Elektronický podpis

DŮVĚRYHODNÁ ELEKTRONICKÁ ARCHIVACE. Jan Tejchman Electronic Archiving Consultant

Zabezpečení linuxového serveru

POKYNY PRO DODAVATELE

Uživatelská příručka RAZR pro OVM

Krizová komunikace na internetu

Testovací SSL certifikát THAWTE

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

Zapomeňte už na FTP a přenášejte soubory bezpečně

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

Návod pro Windows 7.

Ondřej Caletka. 27. března 2014

Internet. Jak funguje internet. Internetový prohlížeč

POKYNY K REGISTRACI PROFILU ZADAVATELE

Zpráva pro uživatele CA

15 let federace eduroam. Jiří Bořík CESNET konference e-infrastruktury CESNET

Stažení certifikátu DigiCert pro Mobilní Banku

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange

Zpráva pro uživatele CA

Chyby v prohlížečích, které v nich byly klidně deset let. Jiří Nápravník

Přihlášení uživatele do aplikace

KVALIFIKOVANÉ CERTIFIKÁTY

Bezpečnost. Michal Dočekal

Instalační a uživatelská příručka

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Víc než kvalifikovaná služba. SecuSign.

Transkript:

Certificate Transparency povinně zveřejněné certifikáty Petr Krčmář 6. února 2018 Uvedené dílo (s výjimkou obrázků) podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 1 / 14

Prezentace už teď na webu www.petrkrcmar.cz Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 2 / 14

Funguje PKI (?) funguje naprosto skvěle! Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 3 / 14

Funguje PKI (?) funguje naprosto skvěle! až na případy, kdy to selhává Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 3 / 14

Funguje PKI (?) funguje naprosto skvěle! až na případy, kdy to selhává autority jsou univerzálně důvěryhodné kdokoliv vystavuje cokoliv DigiNotar, Thawte, Symantec, WoSign technická chyba, omyl, útok, státní zájmy řetěz je silný jako nejslabší článek bezpečnost neurčuje nejlepší, ale nejhorší jedno shnilé jablko zničí celý košík Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 3 / 14

Provozovatelé se bojí provozovatelé služeb se bojí PKI je jedinou ochranou robustní, ale stojí na bezpečnosti autorit pokud selže, může se kdokoliv vydávat za kohokoliv typicky Google, Microsoft, Apple, GitHub ukradení přihlašovacích údajů, odposlech vkládání vlastních informací platný certifikát = internetová identita trvá dlouho problém odhalit a vyřešit Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 4 / 14

Řešení = transparentnost donutit autority zveřejňovat všechny certifikáty možnost monitoringu i zpětného auditu pokud někdo vydá neoprávněně, můžu reagovat spustím poplach, můžu revokovat mám přehled o všech vydaných certifikátech autority se dostávají pod veřejnou kontrolu hlídám své domény, kdokoliv hlídá cokoliv Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 5 / 14

Certificate Transparency veřejné logy pro ukládání certifikátů lze do nich jen přidávat (Merklův hashový strom) kdokoliv je může mirrorovat a prohledávat v nich kdokoliv může přidávat certifikáty kvůli ochraně ale pouze od uznávaných CA odstranění certifikátu je detekovatelné není možné antedatovat certifikáty definováno v RFC 6962 Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 6 / 14

Historie a budoucnost první log spustil Google v březnu 2013 v září 2013 začala první CA vkládat (DigiCert) od 1. ledna 2015 vyžaduje Chrome pro EV přítomnost alespoň ve dvou lozích od 1. června 2016 vyžaduje u všech od Symantec od dubna 2018 bude vyžadováno u všech původně to měl být už říjen 2017 Firefox oznámil podporu, ale bez termínů Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 7 / 14

Jak autority donutit bude fungovat, jen když to budou dělat všichni musí existovat donucovací mechanismus je zabudován do prohlížeče prohlížeč zkontroluje že je certifikát v logu (kromě data platnosti, domény a podobně) jen takový certifikát bude důvěryhodný technicky se vynutí zveřejňování certifikátů Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 8 / 14

Klient se neptá klienti se sami ptát nebudou to by neškálovalo a unikaly by informace důkazní břemeno je na serveru (uživateli certifikátu) ten musí doložit, že je certifikát v logu ideálně ho vloží už CA, ale může i sám log vydává Signed Certificate Timestamp (SCT) příslib budoucího zařazení certifikátu do stromu server musí klientovi doručit i SCT Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 9 / 14

Tři způsoby doručení 1 OCSP stapling složité a nespolehlivé (umí prohlížeč OCSP?) server i autorita musí spolupracovat autorita získá SCT a vloží do OSCP responderů server musí podporovat stapling s OCSP zprávou předává i SCT Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 10 / 14

Tři způsoby doručení 1 OCSP stapling složité a nespolehlivé (umí prohlížeč OCSP?) server i autorita musí spolupracovat autorita získá SCT a vloží do OSCP responderů server musí podporovat stapling s OCSP zprávou předává i SCT 2 rozšíření TLS server pošle certifikát a získá SCT změní konfiguraci web serveru (podpora?) rozšíření TLS signed_certificate_timestamp Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 10 / 14

Tři způsoby doručení 1 OCSP stapling složité a nespolehlivé (umí prohlížeč OCSP?) server i autorita musí spolupracovat autorita získá SCT a vloží do OSCP responderů server musí podporovat stapling s OCSP zprávou předává i SCT 2 rozšíření TLS server pošle certifikát a získá SCT změní konfiguraci web serveru (podpora?) rozšíření TLS signed_certificate_timestamp 3 rozšíření certifikátu nulová zátěž na provozovatele serveru vše zařídí CA, pošle do logu, získá SCT SCT je pak přímo součástí certifikátu Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 10 / 14

Současný stav logů v tuto chvíli je v Chrome uznáváno 15 logů Certly, DigiCert, Izenpe, Google (4) jsou různé velké (statisíce až desetimiliony certů) infrastruktura se bude časem zahušťovat Google nabízí i webové rozhraní případně vyhledávače třetích stran jako crt.sh další info na www.certificate-transparency.org Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 11 / 14

Kde to uvidím? Chrome devtools Security Main origin chrome://net-internals signed_cert na webu crt.sh Certspotter služba, GitHub pomocí řady nástrojů a knihoven OpenSSL má od verze 1.0.2 podporu pro SCT Facebook má vlastní monitoring posílající maily Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 12 / 14

Co bude dál? od dubna 2018 bude povinné vznik dalších logů vznik mnoha dalších monitorů vznik dalších nástrojů Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 13 / 14

Otázky? Otázky? Petr Krčmář petr.krcmar@iinfo.cz Petr Krčmář (Root.cz, vpsfree.cz) Certificate Transparency 6. února 2018 14 / 14

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář