För nästa två år
sedan, efter att ha installeratom Windows 7, så provade jag idé jag hade. Jag
gick in i Windows certifikat store och tog bort alla root och mellanliggande
certifikat som inte litade på.
Jag gjorde det på
grund ut av 2 orsaker:
1. Jag ville se hur
det skulle gå att använda datorn efteråt och
2. jag litade på
alla certifikat utgivare som fanns i mitt store. Jag tappade lite för troendet
för Microsoft gallringsprocess sedan root-certifikatet Bastupojkarna hade
släppts igenom. Observerar att detta var innan alla certifikat utgivare vart
hackade.
Det första som hände
var ingenting. Till min förvåning så fungerade allt som vanligt och direkt kom
jag och tänka på att Windows har en funktion för att uppdatera certifikaten,
som redan fanns i tidigare Windows versioner, det intressant var dock att i Windows
7 så sker detta per automatik när du presenteras för ett certifikat som du inte
har i ditt certifikat store.
Efter att ha
editerat GPOn på min dator så kom inte de certifikat som jag hade tagit bort
tillbaka. Äntligen fick jag bestämma vad som var OK och inte
Till att börja med
så slutade en hel del program och webbsidor att sluta fungerar. Intressant var också att sidor som jag hade
stort förtroende för använde certifikatutgivare som inte hade något förtroende
alls för.
Det andra som inte
hade tänkte på tidigare var att till skillnad från t.ex. FireFox så presenterar
inte IE vilket certifikat du inte litar på. Den säger bara att du inte litar på
det och innan du vet om det är ett certifikat som är uppåt väggarna eller inte
så måste du välja om du litar på det eller inte.
Eftersom rapport
efter rapport har kommit på att så har jag varit inne och tagit bort certifikat
och de sidor som jag surfar som nu använder certifikat som jag inte litar på så
har jag först och främst påpekat att jag tycker att dom ska byta och från fall
till fall valt om jag ska godkänna just deras certifikat.
Som ni förstår blir
det bara svårare och svårare att göra något på Internet och nu efter det att
VeriSign har medgivit att de också har blivit utsatta för att lyckade attacker
så känns det inte längre hållbart.
Så vart står jag nu?
Återigen så är det
punkterna 2:
1. Det är bara
IT-geeks som jag och nu du som förstår och gör sådan här åtgärder. Ingen av
mina icke IT-umgängen vet, förstår eller bryr sig. Dom litar blint på att allt
är OK om det står HTTPS eller som t.o.m. adressfält är grönt. Dom har inte en
tanke på att det finns andra program än deras browser som använder certifikat.
2. Om man inte kan
lite på de största certifikat utgivarna i världen. Vilka kan man lite på. T.ex.
så genomfördes attacken mot VeriSign redan 2010 och det är först nu vi som ska
lite på får information att dom har haft intrång och ändå vet vi inte hur allvarligt
intrånget var. Vad kan vi lite på?
Det finns redan
flera projekt och diskussioner om hur detta ska lösas t.ex. DANE, men det är
inget som är tillräckligt stor omfattning för att man ska kunna byta lösning.
Vi får helt enkelt
fortsätta att lite på företag som saknar mitt förtroende och hoppas att
resultatet av alla dessa rapporter är hårdare krav på revision, auditing och
pentestning.
http://securityaffairs.co/wordpress/2246/hacking/verisign-hacked-why.html
http://blogs.entrust.com/enterprise-authentication/?p=377
http://securityaffairs.co/wordpress/2246/hacking/verisign-hacked-why.html
http://blogs.entrust.com/enterprise-authentication/?p=377
