Dziura IE w obsłudze SSL

Jak poinformował nas Paweł Krawczyk z ipsec.pl MS IE we wszystkich aktualnych wersjach (do 6) zawiera dziurę, która objawia się podczas weryfikowania ścieżki certyfikacji serwera SSL. Błąd polega na tym, że IE co prawda sprawdza ją krok po kroku (od certyfikatu serwera wzwyż do certyfikatu wystawcy), ale pomija jeden istotny szczegół – czy certyfikat wyższego poziomu jest uprawniony do podpisywania czegokolwiek (tzw. X509v3 Basic Constraints).

Oznacza to że dysponując certyfikatem serwera WWW wystawionym przez Thawte, VeriSign lub GeoTrust możemy podpisać nim certyfikat innego serwera, a IE uzna tę ścieżkę za poprawnę – ponieważ kończy się ona na zaufanym urzędzie certyfikującym. W normalnej sytuacji IE powinien stwierdzić, że certyfikat serwera został podpisany certyfikatem, który w ogóle nie posiada do tego uprawnień – i uniemożliwić połącznie.

Konsekwencje tego błędu są dość poważne, bo niweczą mechanizm, który jest sercem bezpieczeństwa SSL – pewność, że łączymy się z autentycznym serwerem np. banku, a nie podstępnym pośrednikiem (tzw. atak man-in-the-middle), który udając przed nami bank, równocześnie udaje nas przed bankiem i w ten sposób zapoznaje się ze szczegółami naszej transakcji. Złamanie ścieżki certyfikacji powoduje niestety, że IE jest podatny na atak m-i-t-m.

Inne przeglądarki (Netscape, Mozilla, Galeon) wyświetlają w takim przypadku błąd. Poprawka do MSIE powinna pojawić się wkrótce, tymczasem do bankowości elektronicznej radzimy wykorzystać np. Mozillę.

Źródło: securityfocus.com
Zobacz również: www.ipsec.pl