Sertifikat keamanan jalan raya menimbulkan pertanyaan tentang keandalan SSL

Sebagai konsumen, kami telah diajarkan untuk mempercayai ikon gembok yang muncul di bilah alamat peramban kami. Kami diberitahu itu adalah tanda komunikasi kami dengan situs web aman. Tapi sebuah insiden minggu ini melibatkan Google dan perusahaan keamanan Turki memungkiri itu.

Perusahaan, TurkTrust, mengungkapkan minggu ini bahwa pada Agustus 2011 itu secara tidak sengaja dikeluarkan untuk dua kunci utama untuk dua "entitas." Kunci master, yang disebut sertifikat perantara, memungkinkan entitas untuk membuat sertifikat digital untuk domain apa pun di Internet.

Sertifikat digital sebenarnya adalah kunci enkripsi yang digunakan untuk memverifikasi situs web adalah apa yang dikatakannya. Sertifikat untuk bank Anda, misalnya, memverifikasi ke browser Anda bahwa Anda benar-benar berbicara dengan bank Anda ketika Anda melakukan perbankan online.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Sertifikat digunakan untuk mengenkripsi informasi antara Anda dan situs web juga. Itulah gembok hijau di bilah alamat browser Anda. Browser ini berkomunikasi dengan situs web menggunakan Secure Sockets Layer, setelah verifikasi keasliannya.

Sebuah penyalahgunaan Internet dengan sertifikat palsu yang dapat mencegat komunikasi antara Anda dan situs web tepercaya dapat menipu browser Anda untuk mempercayai itu berkomunikasi dengan situs tepercaya dan membajak komunikasi Anda. Itu disebut "man in the middle attack" karena pencuri berada di antara Anda dan situs tepercaya.

Kesalahan diperbaiki, masalah berlanjut

Kesalahan TurkTust ditemukan oleh Google pada Malam Natal oleh fitur yang ada di browser Chrome-nya platform yang memunculkan bendera merah ke Google ketika seseorang mencoba menggunakan platform dengan sertifikat yang tidak sah.

Setelah menemukan masalah sertifikat, Google memberi tahu TurkTrust tentang situasinya, serta Microsoft dan Mozilla, yang semuanya telah memodifikasi platform browser mereka untuk memblokir sertifikat palsu yang dibuat dengan otoritas sertifikat menengah.

Sertifikat ini adalah tanda terbaru bahwa sistem penerbitan sertifikat digital yang ada perlu diperbaiki. Pada Maret 2011, misalnya, sebuah perusahaan yang berafiliasi dengan otoritas penerbit sertifikat Comodo dilanggar dan sembilan sertifikat palsu dikeluarkan.

Kemudian pada tahun itu, peretas melanggar otoritas sertifikat Belanda, DigiNotar, dan mengeluarkan lusinan sertifikat palsu, termasuk satu untuk Google. Kejatuhan dari insiden itu membuat perusahaan gulung tikar.

Dicari: Keamanan next-gen

Sejumlah proposal telah ditayangkan untuk mengatasi masalah keamanan sekitar sertifikat.

Ada Konvergensi. Ini memungkinkan browser untuk mendapatkan opini kedua tentang sertifikat dari sumber yang dipilih oleh pengguna. "Ini adalah ide brilian, tetapi segera setelah Anda masuk ke jaringan perusahaan dan Anda berada di belakang proxy atau di balik penerjemah jaringan, itu bisa pecah," Chet Wisniewski, penasihat keamanan dengan Sophos, mengatakan dalam sebuah wawancara.

Ada DNSSEC. Ini menggunakan sistem resolusi penamaan domain-sistem yang mengubah nama-nama umum situs web menjadi angka-untuk membuat tautan tepercaya antara pengguna dan situs web. Tidak hanya sistemnya yang tidak mudah dimengerti, tetapi implementasinya bisa memakan waktu bertahun-tahun.

"Masalah dengan DNSSEC adalah memerlukan penerapan teknologi baru dan peningkatan infrastruktur terkoordinasi sebelum kita dapat memanfaatkannya," kata Wisniewski. "Dengan tingkat adopsi yang telah kita lihat sejauh ini yang berarti kita tidak akan memiliki solusi di tempat selama sepuluh atau 15 tahun. Itu tidak cukup baik."

Juga diusulkan adalah dua teknik "pinning" -Pemberian Kunci Publik Ekstensi untuk Pernyataan HTTP dan Tepercaya untuk Kunci Sertifikat (TACK), yang serupa.

Mereka mengizinkan situs web untuk mengubah header HTTP untuk mengidentifikasi otoritas sertifikat yang dipercayainya. Browser akan menyimpan informasi itu dan hanya membuat koneksi ke situs web jika ia menerima sertifikat yang ditandatangani oleh otoritas sertifikat yang dipercaya oleh situs web.

Proposal penyematan adalah yang paling mungkin diadopsi untuk menyembuhkan masalah sertifikat, menurut Wisniewski. "Mereka bisa diadopsi dalam waktu singkat," katanya. "Mereka memungkinkan orang-orang yang ingin mengambil keuntungan dari keamanan canggih untuk segera melakukannya, tetapi tidak merusak browser web yang sudah ada yang tidak diperbarui."

Apa pun yang dilakukan pembuat skema peramban untuk mengatasi masalah sertifikat, mereka perlu lakukan segera. Jika tidak, snafus akan terus berproliferasi dan kepercayaan di Internet dapat dirusak secara tidak dapat diperbaiki.