Google poprawi protokół HTTPS

Kalifornijski gigant ogłosił, że ma zamiar poprawić jakość certyfikatów SSL. W tym celu utworzony został ich oficjalny katalog, który ma być na bieżąco aktualizowany.

Katalog ma być tworzony na podstawie danych zebranych przez crawlery Google krążące po sieci. Tym samym ryzyko, że trafią do niego fałszywe pozycje stanowiące niebezpieczeństwo dla użytkowników ma być zniwelowane do minimum. Projekt jest na razie w fazie wczesnych testów, dlatego dostęp do niego jest utrudniony (jedynie z poziomu trybu tekstowego Linuksa lub Mac OS). W przyszłości katalog jednak zostanie prawdopodobnie zintegrowany z przeglądarką Google Chrome, co zwiększy efektywność jego działania.

Innym sposobem Google na walkę ze słabościami protokołu HTTPS jest wykorzystanie opartej na weryfikacji DNS metody DANE do sprawdzenia, które certyfikaty są fałszywe, a które nie. Odpowiedzialność w tej kwestii leżałaby jednak po stronie operatora domeny, który by był zmuszony do udostępnienia informacji o certyfikacie używanym na jego hostach.

Działania Google są związane z niedawnymi wydarzeniami, kiedy grupa hakerów nazywająca siebie Ich Sun przygotowała fałszywe certyfikaty SSL dla takich witryn, jak: Yahoo!, Google, Skype czy Hotmail. Mogło to stać się przyczyną zmasowanych i bardzo skutecznych ataków phishingowych. Na szczęście po ujawnieniu procederu wspomniane certyfikaty szybko odwołano. Nie wiadomo jednak, czy nie powstały nowe, gdyż grupa jest nadal aktywna.