Komu to věříme? Pohled mezi důvěryhodné certifikační autority

Podobné dokumenty
Certifikáty, šifry a klíče aneb jak nasadit HTTPS

Certificate Transparency

Jen správně nasazené HTTPS je bezpečné

Certificate Transparency

Let s Encrypt nahoďte šifrování na webu

Co musíte vědět o šifrování

Současné problémy certifikačních autorit

Zabezpečení dat pomocí SSL přehled důvěryhodných certifikačních autorit na trhu. Petr Komárek, Jindřich Zechmeister ZONER software, a.s.

Co musíte vědět o šifrování

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Role certifikátu při zabezpečení šifrovaného spojení

Let s Encrypt pojďme šifrovat na webu zadarmo

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

CS OTE. Dokumentace pro externí uživatele

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

StartSSL: certifikáty zdarma

Protokoly omezující moc certifikačních autorit

Bezpečnost internetového bankovnictví, bankomaty

Digitální důvěra osnova přednášky

Uživatelský manuál pro přístup do CS OTE Změny v certifikátech

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

Bezpečnější pošta aneb DANE for SMTP

OpenSSL a certifikáty

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

12. Bezpečnost počítačových sítí

SSL Secure Sockets Layer

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

ING Public Key Infrastructure ING PKI Postup při vydávaní certifikátů. Verze 5.2 květen 2012

Útoky na certifikační autority a SSL

Projekt 2 - Nejčastější chyby. Ing. Dominik Breitenbacher

TLS certifikát pod mikroskopem

Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows 8

Bezpečnější pošta díky DANE

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Bezpečnost je jedna, v drátu i bezdrátu

Jak funguje internet?

DANE soumrak certifikačních autorit. Ondřej Surý, CZ.NIC IT12, Praha

KVALIFIKOVANÉ CERTIFIKÁTY

ERP-001, verze 2_10, platnost od

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Návod na nastavení připojení k drátové síti na kolejích Jana Opletala pro operační systém MS Windows 10

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Doménový svět, jak to funguje? CZ.NIC z. s. p. o. Ondřej Filip Seminář MPO

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

C6 Bezpečnost dat v Internetu. 2. HTTP komunikace 3. HTTPS komunikace 4. Statistiky

Nové TLD. Letem světem Petr Komárek

Certifikační prováděcí směrnice

Informatika / bezpečnost

Uživatelská dokumentace

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

HTTP hlavičky pro bezpečnější web

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Ochrana soukromí v DNS

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Stránka, doména, URL, adresa

Bezpečnost. Michal Dočekal

Stručné shrnutí v bodech

Bezpečnost webových aplikací

Software SMART Bridgit

Mezinárodní přehled cen mléka v jednotlivých mlékařských společnostech za prosinec Cena ( /100 Kg)

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Import kořenového certifikátu CA ZŠ O. Březiny

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

DNSSEC Pavel Tuček

Univerzita Pardubice. Návod na připojení k bezdrátové síti Eduroam Windows 7. V případě nejasností volejte

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Testovací SSL certifikát THAWTE

PA159 - Bezpečnost na síti II

Michaela Sluková, Lenka Ščepánková

IP telephony security overview

Bezpečnost vzdáleného přístupu. Jan Kubr

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Elektronický podpis. Marek Kumpošt Kamil Malinka

Česká pošta, s.p. Certifikační autorita PostSignum

Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9

Digitální podepisování pomocí asymetrické kryptografie

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Univerzita Pardubice

eduroam - nastavení v MS Windows 7/8/8.1/10 1 Konfigurace pomocí asistenta eduroam CAT

Uživatel počítačové sítě

Služba elektronické pošty 12IPG 2013/2014

Zpráva pro uživatele TSA

SEMINÁŘ: KVALIFIKOVANÉ PEČETĚNÍ - NÁHRADA ELEKTRONICKÝCH ZNAČEK

Napadnutelná místa v komunikaci

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Certifikáty a jejich použití

MANDÍK Cloud. Plná kontrola Klimatizačních jednotek MANDÍK kdykoliv a odkudkoliv budete chtít. URČENO PRO

Falšování DNS s RPZ i bez

Příručka pro dodavatele. Systém EZVR 1.1 Verze dokumentu 1.3 Datum vydání:

SMĚRNICE. Certifikační politika k certifikátu šifrování dat pro pracovníka PČS nebo externího uživatele PKI-PČS

EU-OPVK:VY_32_INOVACE_FIL9 Vojtěch Filip, 2013

Transkript:

Komu to věříme? Pohled mezi důvěryhodné certifikační autority Petr Krčmář 2. března 2019 Uvedené dílo (s výjimkou obrázků) podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 1 / 27

Prezentace už teď na webu https://www.petrkrcmar.cz Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 2 / 27

Co je to HTTPS? přenos protokolu HTTP v šifrovaném TLS tunelu provoz běží po TCP portu 443 data jsou přenášena šifrovaně a autentizovaně pro sestavení kanálu se používá asymetrická kryptografie k potvrzení identity se využívají certifikáty pro šifrování se používá symetrická kryptografie Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 3 / 27

Před čím chrání HTTPS? před síťovými útoky (věříte zdejší Wi-Fi?) před odposlechem komunikace (RFC 7258 odposlech je útok) před man-in-the-middle víme, s kým komunikujeme před blokováním části obsahu (Wikipedie) před pozměňováním dat během přenosu před vkládáním supercookies, malware, trackovacích kódů před únikem osobních údajů nechcete e-shop bez HTTPS před únosemu session cookie při přihlašování Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 4 / 27

Zařízení značky Sandvine (dnes Procera) (Root.cz: Vlády přesměrovávají uživatele na software doplněný o malware) Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 5 / 27

Před čím HTTPS nechrání? před únikem informací o doméně (DNS, SNI) před sběrem metainformací (netflow, IP ) před phishingovými weby před blokováním provozu na síťové vrstvě před útokem na legitimního provozovatele webu (XSS, SQL ) před zlýmy úmysly autora webu Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 6 / 27

78 % stránek načteno po HTTPS, v USA dokonce 85 % před rokem 70 a 78 %, před dvěma 50 a 60 % Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 7 / 27

Problém: důvěryhodné předání klíče šifrovat bezpečně asymetrickou šifrou umíme protistrana je pro nás ale neznámá autentizace stejně důležitá jako silná šifra bez ní se kdokoliv může vydávat za kohokoliv problém důvěryhodného předání veřejného klíče nastupují autority: důvěryhodní prostředníci ověří žadatele, vystaví certifikát Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 8 / 27

Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 9 / 27

Certifikát je internetový pas pas propojuje fotografii obličeje se jménem certifikát propojuje doménové jméno s veřejným klíčem server se prokazuje: toto je potvrzení o mém klíči pas vystavují jen důvěryhodné státy certifikáty vystavují důvěryhodné autority celník ověří totožnost na základě dokumentu známého státu prohlížeč ověří identitu na základě dokumentu známé autority důvěryhodné autority a jejich klíče jsou předinstalované v software to celé se jmenuje PKI (Public Key Infrastructure) Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 10 / 27

Co je to certifikát? veřejný dokument, který obsahuje hlavně: jméno autority doménová jména veřejný klíč žadatele datum platnosti podpis autority a další elektronický podpis = nezfalšovatelné ověříme pomocí známého veřejného klíče v software certifikát není tajemstvím, chráníme privátní klíč Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 11 / 27

Tři druhy certifikátů EV Extended Validation velmi drahý, důkladné ověření identity žadatele signalizace zeleným názvem vedle adresy nesmí obsahovat wildcard (hvězdičku) nemůžou vydávat všechny autority OV Organzation Validation levnější varianta, zběžné prověření idenity žadatele v prohlížeči nemá speciální označení DV Domain control Validation velmi levné vystavení, lze automatizovat jen kontrola doménového jména není nijak svázán s identitou žadatele nejběžnější typ certifikátu max. platnost všech je 825 dnů (přibližně 27 měsíců) Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 12 / 27

Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 13 / 27

Řetězec důvěry software zná kořenové certifikáty s veřejným klíčem autority od serveru dostane řetězec delegace pravomocí autority certifikáty se musí vzájemně potvrzovat konečný certifikát potvrzuje identitu žadatele (serveru) zároveň obsahuje veřejný klíč identita je potvrzena, klíč předán protistraně komunikace může začít Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 14 / 27

Kdo je to certifikační autorita? splňuje bezpečnostní podmínky CAB Fóra má hardware a procesy podle doporučení zveřejní všechny potřebné informace podá žádost k zařazení mezi důvěryhodné projde auditem od certifikovaného auditora opakuje se nejméně jednou ročně proces trvá minimálně dva roky výsledkem je vložení kořenových certifikátů do úložišť Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 15 / 27

Komu jsme se rozhodli věřit? Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 16 / 27

Kolik jich je? Datum Počet CA 23. 1. 2019 135 5. 12. 2018 128 17. 10. 2018 129 20. 6. 2018 132 7. 3. 2018 133 17. 1. 2018 138 20. 9. 2017 143 7. 6. 2017 155 18. 1. 2017 158 2. 11. 2016 158 Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 17 / 27

Kde se dají najít? ve zdrojových kódech prohlížečů v instalacích prohlížečů /nss/lib/ckfw/builtins/certdata.txt k extrakci lze použít existující utility mk-ca-bundle firefox-db2pem.sh Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 18 / 27

Kdo je provozuje? každá autorita má v popisku provozovatele (O=) položek je sice 135, ale unikátních je 70 mají více kořenových certifikátů Amazon Root CA 1, 2, 3, 4 GTS Root R1, R2, R3, R4 TrustCor RootCert CA-1, CA-2, ECA-1 vlastně je jich ještě méně je tam několik semi-duplicit Comodo CA vs. COMODO CA SECOM Trust.net vs. SECOM Trust Systems celkem existuje 58 organizací provozujících CA Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 19 / 27

Kdo je provozuje? AC Camerfirma S.A. ACCV Actalis S.p.A. AddTrust AB AffirmTrust Agencia Catalana de Certificacio (NIF Q-0801176-I) Amazon AS Sertifitseerimiskeskus Atos Baltimore Buypass AS-983163327 Certinomis Certplus certsign Comodo CA Limited COMODO CA Limited Cybertrust, Inc Deutsche Telekom AG Dhimyotis DigiCert Inc Digital Signature Trust Co. Disig a.s. D-Trust GmbH Entrust, Inc. Entrust.net E-Tuğra EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. FNMT-RCM GeoTrust Inc. GlobalSign GlobalSign nv-s GoDaddy.com, Inc. Google Trust Services LLC Government Root Certification Authority GUANG DONG CERTIFICATE AUTHORITY CO.,LTD. Hellenic Academic and Research Institutions Cert. Authority Hongkong Post China Financial Certification Authority Chunghwa Telecom Co., Ltd. IdenTrust Internet Security Research Group IZENPE S.A. Japan Certification Services, Inc. Krajowa Izba Rozliczeniowa S.A. LuxTrust S.A. Microsec Ltd. NetLock Kft. Network Solutions L.L.C. QuoVadis Limited SECOM Trust.net SECOM Trust Systems CO.,LTD. SecureTrust Corporation Sonera SSL Corporation Staat der Nederlanden Starfield Technologies, Inc. SwissSign AG TAIWAN-CA TeliaSonera thawte, Inc. The Go Daddy Group, Inc. The USERTRUST Network TrustCor Systems S. de R.L. Trustis Limited T-Systems Enterprise Services GmbH Turkiye Bilimsel ve Teknolojik Arastirma Kurumu - TUBITAK UniTrust Unizeto Technologies S.A. VeriSign, Inc. WISeKey XRamp Security Services Inc Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 20 / 27

Kdo je vlastní? AC Camerfirma, S.A. Actalis Amazon Trust Services Asseco Data Systems S.A. Atos Autoridad de Certificacion Firmaprofesional Buypass Certinomis / Docapost certsign Consorci Administració Oberta de Catalunya Cybertrust Japan / JCSI Dhimyotis / Certigna DigiCert Disig, a.s. DocuSign D-TRUST Entrust E-Tugra Global Digital Cybersecurity Authority GlobalSign GoDaddy Google Trust Services LLC (GTS) Government of Hong Kong Government of Spain Government of Taiwan Government of The Netherlands Government of Turkey HARICA China Financial Certification Authority (CFCA) Chunghwa Telecom IdenTrust Services, LLC Internet Security Research Group (ISRG) Izenpe S.A. Krajowa Izba Rozliczeniowa S.A. (KIR) LuxTrust Microsec Ltd. NetLock Ltd. QuoVadis SECOM Trust Systems CO., LTD. Sectigo SecureTrust Shanghai Electronic Certification Authority SK ID Solutions AS SSL.com Swisscom (Switzerland) Ltd SwissSign AG Taiwan-CA Inc. Telia Company TrustCor Systems Trustis Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 21 / 27

Odkud jsou po ručním vyřezení všech duplicit Stát Počet CA US 19 ES 5 DE 4 CN 3 FR 3 TW 3 TR 2 jedna BE, BM, EE, FI, HK, IE, IT, LU, NL, NO, PA, RO, SE, SK, EU dvě GB, GR, HU, CH, JP, PL, TR Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 22 / 27

Paretův princip v praxi Autorita Podíl certifikátů IdenTrust 49,1 % Sectigo 27,3 % DigiCert 11,8 % GoDaddy 6,8 % GlobalSign 2,8 % Sectigo vlastní AddTrust, Comodo a UserTrust zbytek pod 1 % zdroj: statistiky W3Techs Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 23 / 27

Státem provozované autority Mozilla pro ně má speciální politiku v současné době je provozuje sedm států Francie Hong Kong Japonsko Španělsko Nizozemsko Tchaj-wan Turecko to jsou ale jen přiznané řada veřejných organizací: CNNIC, CATCert, TurkTrust hodně závisí na definici vládní CA Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 24 / 27

Všechny autority můžou všechno existuje rozšíření Name Constrains omezuje autoritu na subdomény používá ale jen turecká vládní autorita TUBITAK vazbu na cctld totiž nelze vynutit řadě států a federací se navíc překrývají jurisdikce většina autorit potřebuje vystavovat na generické domény například na.gov,.org,.edu u nás třeba datoveschranky.info navíc registr domén už teď může podvádět má moc nad validačními údaji může si nechat vystavit certifikát od libovolné CA Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 25 / 27

Musíme jim věřit? od konce dubna 2018 povinné používat Certificate Transparency veřejné logy pro ukládání certifikátů lze do nich jen přidávat (Merklův hashový strom) definováno v RFC 6962 prohlížeče vyžadují dodání potvrzení o uložení v CT vyhledávat je možné v crt.sh existují automatické hlídače nově vystavených certifikátů každý může hlídat své domény nebo jakékoliv cizí Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 26 / 27

Otázky? Otázky? Petr Krčmář petr.krcmar@iinfo.cz Petr Krčmář (Root.cz, vpsfree.cz) Komu to věříme? Pohled mezi důvěryhodné certifikační autority 2. března 2019 27 / 27

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář