Tuân theo Cảnh báo Chứng chỉ của Trình duyệt Do Hạn chế DNS

Một vài ngày trước, tôi đã viết về một lỗ hổng cơ bản trong giao thức Dịch vụ Tên miền (DNS) xử lý việc tra cứu từ những tên dễ đọc của con người vào các địa chỉ Giao thức Internet, cố vấn cho tất cả độc giả để xác định tính dễ bị tổn thương của họ và hành động.

Tuy nhiên, có một cảnh báo khác nữa. Bởi vì lỗ hổng này cho phép một kẻ tấn công tấn công DNS cho bất cứ ai có hệ thống kết nối với một máy chủ DNS chưa được vá, kẻ tấn công cũng có thể bỏ qua sự bảo vệ được xây dựng trong các phiên mã Web được mã hóa.

Web encryption dùng SSL / TLS (Secure Sockets Layer / Transport Layer Security), một tiêu chuẩn dựa vào ba phương pháp để đảm bảo rằng trình duyệt của bạn chỉ kết nối với bên đúng ở đầu bên kia cho một liên kết an toàn.

[Xem thêm: Các hộp NAS tốt nhất cho truyền thông và sao lưu phương tiện truyền thông]

Đầu tiên, mỗi máy chủ Web sử dụng SSL / TLS phải có một chứng chỉ, hoặc là một cho mỗi máy chủ hoặc chứng chỉ nhóm. Chứng chỉ này xác định máy chủ.

Thứ hai, chứng chỉ kết hợp tên miền của máy chủ. Bạn có thể lấy một chứng chỉ cho www.infoworld.com và sử dụng nó với www.pcworld.com.

Thứ ba, xác nhận của bên yêu cầu chứng chỉ cho một tên miền nhất định sẽ được cơ quan chứng nhận xác nhận. Một công ty hoạt động như một cơ quan xác nhận danh tính của người và công ty yêu cầu một chứng chỉ, và sau đó tạo ra một giấy chứng nhận với các phước lành của họ cryptographically ràng buộc vào nó. (Mức độ xác nhận cao hơn bây giờ đã có, đó là lý do tại sao bạn nhìn thấy một khu vực rộng lớn trong khu vực được lưu trữ trong các phiên bản mới nhất của Internet Explorer và Firefox, điều này cho thấy việc kiểm tra hợp lệ được thực hiện)

Các tổ chức chứng nhận này có bộ chứng chỉ chứng minh nhân thân của họ, và được cài đặt sẵn trong các trình duyệt và hệ điều hành. Khi bạn kết nối với một máy chủ Web, trình duyệt của bạn lấy ra chứng chỉ công cộng trước khi bắt đầu một phiên làm việc, xác nhận rằng địa chỉ IP và tên miền phù hợp, xác nhận tính toàn vẹn của chứng chỉ, và sau đó kiểm tra chữ ký của chính quyền để có hiệu lực.

If bất kỳ thử nghiệm nào không thành công, bạn đã bị cảnh báo bởi trình duyệt của bạn. Với lỗ hổng DNS, kẻ tấn công có thể chuyển hướng phiên làm việc ngân hàng hoặc thương mại điện tử của bạn sang các phiên bản an toàn được quản lý bởi các công ty khác nhau và trình duyệt của bạn sẽ không nhận thấy sự khác biệt về địa chỉ IP vì tên miền trong chứng chỉ giả mạo sẽ khớp với IP địa chỉ mà kẻ tấn công đã trồng.

Tuy nhiên, trình duyệt của bạn sẽ lưu ý rằng không có chữ ký chứng chỉ đáng tin cậy được đính kèm. (Cho đến nay, không có báo cáo nào về bất kỳ kỹ thuật xã hội thành công nào của các cơ quan này gắn liền với lỗ hổng DNS.) Trình duyệt của bạn sẽ cho bạn biết rằng chứng chỉ đã được tự ký, có nghĩa là kẻ tấn công đã sử dụng phím tắt và để lại chữ ký của chính quyền, hoặc đã sử dụng một cơ quan không đáng tin cậy mà kẻ tấn công tự tạo ra. Tuy nhiên, các cơ quan độc lập này không được xác nhận bởi các trình duyệt trừ khi bạn cài đặt bằng tay một chứng chỉ trên những máy đó một cách riêng biệt.

Cảnh báo của tôi ở đây là nếu bạn nhận được bất kỳ loại chứng chỉ hoặc cảnh báo SSL / TLS từ trình duyệt của bạn, ngừng kết nối, gọi ISP hoặc bộ phận IT của bạn, và không nhập bất kỳ thông tin cá nhân hoặc công ty. >