К концу года Google SSL сертификаты будут использовать 2048-битные ключи.
Google планирует модернизировать безопасность своих SSL (Secure Sockets Layer) сертификатов, являющихся важным компонентом безопасной коммуникации.
SSL сертификаты используются для шифрования передаваемых данных и проверки целостности другой стороны, с которой пользователь взаимодействует. Их сила заключается в длине закрытых ключей, используемых для подписания сертификатов.
Ключи, которые меньше 1024 бит, считаются слабыми, а 512-и 768-битные ключи были признаны сверхслабыми для секретного ключа. Google использует 1024-битные ключи, но будет двигаться в сторону 2048-битных ключей, написал Стивен Мак-Генри, директор информационной безопасности машиностроения Google, в своем блоге в четверг.
«Мы начнем переход на новый 2048-битный сертификат с 1-го августа, в целях обеспечения достаточного времени для тщательного развертывания до конца года», - писал он. - «Мы также собираемся изменить корневой сертификат, который подписывает все наши сертификаты SSL, поскольку он имеет 1024-битный ключ».
Мак-Генри предупредил, что у большинства программного обеспечения клиента не будет проблем с изменением, но у клиентского программного обеспечения, встроенного в некоторые телефоны, принтеры, приставки, игровые консоли и камеры могут быть проблемы.
Ход Google разумен, но SSL все еще имеет другие слабые места.
Сотни организаций по всему миру могут выдавать SSL-сертификаты, которые привязаны к так называемой обратной сертификации. Эти организации, известные как промежуточные, были мишенью хакеров. Создание мошеннических сертификатов SSL, в отличие от анонимайзера, который был изначально создан для сокрытия конфиденциальных данных пользователя от веб-сервера, может сделать вид, что человек посещает легальный веб-сайт, когда на самом деле он является мошенническим.
Google стал жертвой такого нападения в 2011 году. Хакеры обеспечивали не менее 500 мошеннических SSL сертификатов, в том числе тот, который был использован в попытке нападений против пользователей Gmail в Иране.
В 2009 году при исследовании безопасности Moxie Marlinspike, был создан инструмент под названием SSLstrip, который позволяет злоумышленнику перехватить и остановить SSL соединения, хотя есть исправление, которое будет блокировать такие атаки. Злоумышленники с помощью инструмента могут шпионить за всеми данными, что передаются на фальшивый сайт.