Telecom News - בקרוב מאד: רשות חיתום Certification Authority חינמית מגיעה לרשת

בקרוב מאד: רשות חיתום Certification Authorityחינמית מגיעה לרשת
מאת: צבי שחם, 21.5.15, 18:30

מאחר שתהליך רישום וקבלת תעודה מאחת מחברות CA הוותיקות עלול להיות ארוך ויקר, התארגנו כמה חברות ידועות כמו סיסקו, אקאמאי ומוזילה, והחליטו להקים רשות חיתום CA עצמאית, שתהיה חינמית, אוטומטית ויעילה.

כאשר אנו גולשים ברשת לאתר מאובטח (לדוגמה אתר בנק, גוף פיננסי או ממשלתי), אנו מגלים כי כתובת האתר השתנתה.

כתובת ה-URL הרגילה, לדוגמה:

תמונה 1

התחלפה לכתובת URL מאובטחת מיד לאחר הקשת "כניסה לחשבון":

תמונה2

הכתובת המאובטחת מתחילה באותיות (HTTP Secured) HTTPS , שפרושה יישוםHTTP (כלומר גלישה באינטרנט) מעל פרוטוקול SSL (Secure Socket Layer).

פרוטוקולSSL פותח ע"י חברת נטסקייפ עוד באמצע שנות ה-90 לצורך ביצוע פעולות מאובטחות באינטרנט או לביצוע תקשורת מאובטחת בין יישומים.

בשנת 1987 פרסם ארגון IETF גרסה משופרת (RFC 2246) וקרא לה (Transport Layer Security) TLS, שדומה מאד ל-SSL. הגרסה האחרונה היא TLS 1.2 או בשמה הרשמי RFC 5246. פרוטוקול SSL/TLS תוכנן כאמור לגישה מרחוק לאתרים מאובטחים וכל גישה מחייבת הצפנה נפרדת בין 2 הצדדים ובקרת גישה למידע הספציפי בלבד.

ההצפנה נעשית בשיטת מפתחות ציבוריים ופרטיים, שהיא שילוב של מרכיבי חומרה, תוכנה מדיניות ונהלים הנקראת PKI (Public Key Infrastructure).

לצורך יישום השיטה יש צורך בגוף-על המאשר את השייכות של מפתח ציבורי לארגון מסוים (למשל בנק). גוף כזה נקרא "רשות חיתום" או "רשות מאשרת" CA - Certification Authority, והוא מספק אישורים (Certificates) בצורת מסמכים ספרתיים.

הארגון המבקש (בדוגמה שלנו הבנק) מעביר ל-CA את המפתח הציבורי שלו, וכן נתונים שונים על הארגון. ה-CA בודק את תקינות הנתונים, מאמת אותם, רושם אותם במאגר מאובטח ושולח לבנק אישור בפורמט של תעודה ספרתית (Certificate). החתימה על התעודה מתבצעת במפתח הפרטי של CA, לפי תקן הנקרא X.509. הדפדפנים הנפוצים (אקספלורר, כרום, פיירפוקס ואחרים) כבר מכילים את התעודות הנ"ל , כיוון שקיים שת"פ פעיל בין ספקי הדפדפנים וחברות ה-CA.

יש לציין, ש-https://cabforum.org/ הוא ארגון וולונטרי המקדם את השת"פ הזה.

מאחר שתהליך רישום וקבלת תעודה מאחת מחברות CA הוותיקות עלול להיות ארוך, מייגע ויקר, התארגנו כמה חברות ידועות (ביניהן סיסקו, אקאמאי ומוזילה) והחליטו להקים רשות חיתום CA עצמאית, שתהיה חינמית, אוטומטית ויעילה. הן טוענות, ששחרור צוואר הבקבוק, שהוא קבלת התעודה מה-CA, יאפשר להרבה מאד בעלי שרתים להצפין את הפעילות שלהם ובכך לשפר את האבטחה של הגישה אליהם.

ההתארגנות נקראת https://letsencrypt.org/ ובכוונתה לצאת לשוק באמצע 2015, כלומר, בעוד חודש או חודשיים. לפני מספר ימים פורסם מסמך המדיניות שלה (כאן) וכן את שיטת העבודה המתוכננת שלה (כאן).

הסיסמה שלה היא: Let’s Encrypt: Delivering SSL/TLS Everywhere

האם האינטרנט יהיה יותר בטוח? יש סיכוי שכן. מנגנוני האבטחה ברשת ישופרו גם עבור שרתים קטנים ובינוניים.

מאת: צבי שחם, M.Sc. מאי 2015.
zvi.shacham@gmail.com
www.zvish.com