На фоне недавно разгоревшегося скандала вокруг центров сертификации DigiNotar, Comodo и пр., в среде специалистов по информационной безопасности все чаще возникает вопрос целесообразности использования модели подтверждения подлинности удаленных web-узлов, с которыми устанавливается соединение. Основная проблема заключается в том, что при подключении к удаленному серверу, определение его подлинности происходит независимо от пользователя. Это, в случае компрометации центра сертификации, делает систему уязвимой к атаке «человек посередине».

В ходе конференции по информационной безопасности Black Hat 2011, которая прошла в начале августа, исследователь по имени Моксай Марлинспайк (Moxie Marlinspike) представил новую систему подтверждения подлинности удаленных web-узлов. Принцип работы этой системы заключается в том, чтобы оперировать с помощью так называемой, сети доверия (web of trust). При использовании данной системы пользователь сам указывает центры сертификац ... Читать дальше »