Другие новости
Level Group открыла продажи в проекте Level Звенигородская
Национальная бизнес-премия: Константин Резанов стал предпринимателем года в технологическом бизнесе
Toshiba TV интегрировала чип REGZA Engine ZRi на базе искусственного интеллекта
Состоялся визит МСП из России в Цзянся для налаживания торгово-экономического сотрудничества
Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему
Интернет замедляется из-за Heartbleed
Экономика
Миллионы сертификатов SSL должны быть отозваны и переизданы. Интернет и Инфраструктура открытых ключей (PKI — Public Key Infrastructure) не предназначены для этого. Пробки обязательно будут.
Много неприятностей может случиться из-за Heartbleed. Одна из них, влияющая почти на всех, является общим замедление производительности, в связи с необходимостью отозвать и переоформить миллионы SSL/TLS цифровых сертификатов и ключей. Объем таких отзывов увеличивается изо дня в день со времени объявления миру о Heartbleed.
Исследовательская фирма Netcraft, которая наблюдает за веб-сайтами и сертификатами по всему миру, говорит о том, что количество аннулированных сертификатов около 80000 и процесс только начался. Очень большие SSL-провайдеры, как Akamai, планируют массовое аннулирование сертификатов клиентов.
Сертификаты SSL/TLS используются субъектами интернета, чтобы доказать свою идентичность друг другу. Они используются гораздо больше, чем безопасные веб-сайты: многие виртуальные частные сети полагаются на SSL для клиентов и серверов, чтобы доказать идентичность друг другу.
Когда сертификат становится ненадежным и отзывается, уникальный идентификатор сертификата добавляется в файл с именем CRL (Список отозванных сертификатов). Каждый сертификат содержит поле для конкретного CRL, чтобы проверить – не отозван ли он.
Существуют две проблемы с этим процессом: списки CRL могут вырасти до огромных размеров, что создает проблемы с производительностью как клиента, так и сервера; многие клиенты не очень хорошо проверяют отзыв сертификата. Рассмотрим изображение рядом — это меню настроек Google Chrome: по умолчанию, может быть из-за увеличения производительности, Chrome не проверяет аннулирование сертификатов. На самом деле, это лишь две из проблем с проверкой отзыва сертификата. В реальном мире это не получается сделать по многим другим причинам.
На приведенном ниже графике от Internet Storm Center показан рост CRL. Не ясно, показывает ли график «Количество CRL шестнадцати различных СА (Certification authority — Центров сертификации) с 1 апреля 2014 года», размер списков отзыва сертификатов или их количество, или это показатель роста в день. Но он, безусловно, растет. Netcraft говорит, что если все сертификаты, подверженные Heartbleed должны быть отменены, CRL вырастет примерно на 35%.
Из-за ограничений списков отзыва сертификатов CRL, был разработан новый стандарт под названием OCSP (Протокол статуса сертификатов — Online Certificate Status Protocol), так что клиент может проверить с помощью Центра Сертификатов статус одного сертификата. В обычных случаях, когда проверка осуществляются по одному, такой подход экономит пропускную способность сети. Во то время, когда производится большое количество аннулирований, использование OCSP может оказать большую нагрузку на системы CA. Примечание: Firefox больше не поддерживает списки отзыва сертификатов CRL вообще, полагаясь исключительно на OCSP.