it-swarm-tr.com

İstemci tarayıcısı sertifikası kullanan var mı?

İstemci tarayıcı sertifikaları, siteleri davetsiz misafirlerden korumak için iyi bir yol gibi görünüyor - tahmin etmek imkansız ve çalması daha zor olmalı. Tabii ki, tüm sorunları çözmezler, ancak güvenlik eklerler.

Ancak, bunları kullanan herkese açık sitelerle karşılaşmadım. Onları kullanan siteler var mı? İçlerinde güvenlik önemli olduğunda bile kullanımı engelleyen bir kusur var mı veya bu kadar az kullanılmasının başka bir nedeni var mı?

43
StasM

Müşteri tarafı sertifikalı sadece yeterince iyi bir maliyet/fayda dengesi olmadı. Kullanıcılar için çok kafa karıştırıcı oldukları için destek maliyetleri artar. Ve hala sadece bitler ve bu nedenle "bildiğiniz bir şey" ve tarayıcı, dağıtım şeması, kimlik avı vb. Bir dizi yazılım saldırısına karşı savunmasızlar.

Donanım belirteci şemaları (iki faktörlü kimlik doğrulaması) iyi kimlik doğrulaması için daha iyidir. Potansiyel olarak bir araya getirilen ve potansiyel olarak donanım belirteçleriyle desteklenen tek oturum açma (TOA) şemaları daha fazla sorunu çözer ve dağıtımı daha kolaydır.

Bir kullanıcı için çok sayıda sertifikanın yönetilmesi, mevcut dikenli çoklu şifre sorunundan çok daha karmaşıktır ve tarayıcılar doğru sertifikayı seçmek için iyi bir destek sunmaz. Bir kullanıcı birçok site için tek bir sertifika kullanıyorsa, sertifikanın kullanımı kullanıcıyı tanımladığından gizlilik sorunları vardır.

On yıllar boyunca, çoğumuz son kullanıcı PK-kripto çağının hemen köşede olduğunu, özellikle benim gibi RSA'nın güzelliğine aşık olduğunu düşündük. Sadece ortaya çıktığı gibi, yardım masası ve geliştirme maliyetleri ve incelikleri ve karmaşıklıkları ve gerçek dünyadaki PKI'nin yasal dolandırıcılıklarının faydalarını sürdürmeye devam ettiği ortaya çıkıyor.

Ekipman bitlerden daha pahalı gibi görünür, ancak bitler işi yapmazsa veya bunların etkili kullanımı üretkenliği yemezse değil.

20
nealmcb

Birkaç site için tarayıcı sertifikaları kullanıyorum, ancak daha önce de söylediğin gibi değil herkese açık siteler.

İstemci Tarafı Sertifikalarındaki temel zorluk dağıtarak bunlardır. Yani, sizi bilmiyorsam, sistemime erişmenizi sağlayacak "tamamen güçlü" sertifikayı size nasıl güvenli bir şekilde verebilirim?
Kurumsal sistemler, elbette, küçük ortaklara açık sistemler gibi daha kolaydır. Ancak anahtar dağıtımını çözmek her zaman zor bir bulmaca. Özel anahtar yönleri ve sertifika koruması göz önüne alındığında, iki taraf arasında bir parola paylaşmaktan çok daha zor.

Aslında = çözümler elbette, ve ben bile bir "kamu" web sitesi için kullanın. (Kimlik işinde olur, bu yüzden onlara ek yüke değer ...). Bu çözüm, şifre ile birincil kimlik doğrulamasına dayanmaktadır ve tamamen doğrulandıktan sonra sertifikamı indirme seçeneğim var - bununla ne yapacağımı bildiğim varsayılıyor.
Değil çok daha iyi, çünkü şifre kanalı hala açık ... ama bu en azından bana şifreyi imkansız ve kullanılamaz bir şeye değiştirme imkanı veriyor ve sadece CSC'ye sahip. ...

Ancak bu önemsiz değildir ve doğru bir şekilde uygulanması biraz karmaşıktır. Dağıtım yine de çoğu kullanıcıyı rahatsız eder.

18
AviD

Anladığım kadarıyla, uygulamada istemci sertifikalarını kullanmayla ilgili birçok sorun var. İşte duyduğum bazı sorunlar:

  1. Müşteri sertifikaları almak. Kullanıcıların başlangıçta bir müşteri sertifikası almaları bir acıdır. Açıkçası, siteler kullanıcıların sitelerini kullanmaya başlamadan önce atlamak zorunda kaldıkları gereksiz engeller oluşturmak istemiyorlar. (Sitenin istemci sertifikasını oluşturması ve istemciye sunması bile bir kullanıcı için tanıdık bir işlem değildir - güvenlik sorunları olduğunu belirtmemek gerekir, çünkü ideal olarak, yalnızca istemcinin özel anahtarını bilmelidir.) Modern tarayıcılar özel anahtarlar ve istemci sertifikaları oluşturmanın veya içe aktarmanın yollarını sunar, ancak kullanıcı deneyimi korkunçtur.

  2. Görünüşe göre bazı sunucuların istemci sertifikalarını iyi desteklemediğini duydum (ör. http://osdir.com/ml/encryption.cryptlib/2005-09/msg00000.html).

  3. Hareketlilik bir sorundur. Tüm sorunlarına rağmen şifreler çok taşınabilir; müşteri sertifikaları değildir. İstemci özel bir anahtar oluşturmayı ve bunun için bir istemci sertifikası almayı başarsa bile, ikinci bir bilgisayar kullanmaya başlamak istiyorlarsa, özel anahtarı aktarmak ve ikincisine onaylamak için karmaşık ve kafa karıştırıcı bir dans yapmak zorunda kalacaklar. bilgisayar. İlk bilgisayarları ölürse (veya bir sabit disk arızası varsa) ve işletim sistemlerini yeniden yüklemeleri veya yeni bir bilgisayar satın almaları gerekiyorsa ve istemci özel anahtarlarını yedeklemediyse, özel şifrelerini koymaları mümkün olmayacaktır. anahtar ve yeni bilgisayarlarına sertifika; oldukça mahvolmuşlar. Bir site, özel anahtarlarını kaybeden kullanıcıların yeni bir özel anahtar oluşturup gönderebilmeleri için bir yedekleme kimlik doğrulama yöntemi oluşturabilir, ancak bu yedekleme kimlik doğrulama yöntemi kolayca zincirdeki en zayıf bağlantı haline gelebilir. Yedekleme yönteminiz kolayca yenilebiliyorsa, birincil kimlik doğrulama yönteminizin ne kadar güçlü olduğu önemli değildir.

  4. İstemci sertifikaları için tarayıcılardan yeterli destek olup olmadığı açık değildir. Orada çeşitli tarayıcıların (mobil tarayıcılar dahil) istemci sertifikalarını yeterince destekleyip desteklemediğini bilmiyorum.

  5. PKI modeli zaten oldukça iyi kırılmış. Varsayım, CA'nın bir istemci sertifikası vermeden önce kullanıcının kimliğini (örneğin gerçek adlarını) doğrulayacağı ve protokolün bu varsayım etrafında tasarlandığı yönündeydi. Ancak günümüzün CA'ları kimliği gerçekten doğrulamamaktadır. Bu, tasarım varsayımları ile gerçeklik arasında bir uyumsuzluk yaratır.

  6. Müşteri sertifikaları kullanıcılar için gizlilik riskleri oluşturur. Bazı tarayıcılarda, kullanıcıların alan adlarındaki kullanıcıların izlenmesini sağlar. (Tüm tarayıcılar, çerezlerin bu tehdide karşı dikkatli bir şekilde savunmasını sağlar: yalnızca çerezi ayarlayan alan bunu okuyabilir. Ancak, tarayıcılar SSL istemci sertifikaları için benzer korumalar içermez.) Modern tarayıcıların bunu etkili bir şekilde ele alıp almadığını bilmiyorum. ama müşteri cerlerinin bildiğim kadarıyla olgunlaşmamış olduğu bir alandır.

  7. Müşteri kendi müşteri sertifikasını oluşturup imzalarsa can sıkıcı teknik sorunlar vardır. TLS protokolüne göre, sunucunun önce kabul etmek istediği CA'ların bir listesini istemesi gerekir; daha sonra müşteri, varsa CA tarafından verilen bir istemci sertifikasıyla yanıt verir. (Bunun, istemci bir HTTP isteği, herhangi bir HTTP çerezleri, bir kullanıcı adı veya başka bir tanımlayıcı bilgi göndermeden önce gerçekleştiğini unutmayın.) Bu, istemcinin verdiği (kendinden imzalı) istemci sertifikalarını kullanmak istiyorsanız, sunucu, istemci kendi kimliğini doğrulamak veya tanımlamak için istemcinin kullandığı CA'nın adını bilmelidir. Bu zor.

  8. Son olarak, pastadaki kiraz: müşteri cerleri kimlik avı sorununu çözmez. Müşterinin özel anahtarının çalınmasını önler, ancak diğer kişisel bilgileri engellemezler. Kötü adamlar yine de sahte bir banka sitesi kurabilirler (bu, kendisine gönderilen müşteri sertifikalarını atar). Kimlik avı sitesi kullanıcının özel anahtarını öğrenmez, ancak kullanıcı gerçek banka sitesine bağlandığını düşünürse, banka hesap numaralarını, SSN, PIN, vb. Yazabilir ve bu bilgileri saldırgana gösterebilir.

Bunların tümü zayıf kullanılabilirlik ve artan destek maliyetlerine (örneğin, yardım masası çağrıları) dönüşür. Kısacası, en azından prensipte müşteri sertifikalarını kullanabilirsiniz; sadece pratikte bunu yapmak herkes için elverişsiz ve kullanılabilirlik berbat.

Daha temelde, bir tavuk ve yumurta sorunu var: birçok site müşteri sertifikalarını kullanmaya başlayana kadar, tarayıcı üreticileri müşteri sertifikalarını kullanılabilir hale getirmeye yüksek öncelik vermeyecek; ve tarayıcılar istemci sertifikalarını kullanılabilir hale getirinceye kadar siteler bunları kabul etmez. Başka bir deyişle, genel kimlik doğrulama sorununu çözmek için istemci sertifikalarını kullanmak istiyorsak, her ikisini de tüm tarayıcı üreticilerini büyük değişiklikler yapmaya ikna etmeliyiz ve siteleri yeni teknolojiyi benimsemeye ikna eder. Tüm bu taraflar eşgüdümlü değişiklikler yapana kadar kimseye fayda sağlanmaz. Bu benimsemenin önünde büyük bir engel.

HTTPS, güvenli kalıcı çerezler ve e-posta tabanlı kurtarma gibi Web'de güvenli kimlik doğrulaması için daha iyi çözümler vardır. Ancak bu, sorunuzun kapsamını aşmaktadır.

Son yorum: Güvenli web kimlik doğrulamasındaki temel zorluk kullanılabilirlik, kullanılabilirlik, kullanılabilirliktir. Kullanıcılar için iyi çalışan ve sıradan kullanıcılar tarafından kullanıldığında güvenli olan sistemleri güvenli hale getirmek çok zordur ve önemli olan her şeydir. Kripto bu sorunun sadece küçük bir parçası.

15
D.W.

Çoğunlukla kullanılmadıklarını düşünüyorum, çünkü ortalama bir kişi (yani, bu soruyu sorduğunuzdan beri siz değilsiniz) kullanımlarını kavrayamaz. Onları kullanan birkaç ticari site var, ancak genellikle çok özel bir amaç veya otomasyon için. Örneğin Oracle, paket güncellemeleri için geçerli destek sözleşmeleri olan son kullanıcıları doğrulamak için istemci sertifikalarını kullanır. Ancak son derece teknik kullanıcılarla bile doğru anahtar değişimini almak zor olabilir.

Tüm bunlar söylendiğinde, web sitelerimin halka açık bıraktığım kısımlarını korumak için müşteri sertifikaları kullanıyorum ve bence harikalar.

7
bahamat

Estonya Ulusal Kimlik Kartı , üzerine gömülü bir istemci sertifikası içeren bir akıllı karttır. Bunun için akıllı kart okuyucuları alabilir ve devlet hizmetlerine başvurmak veya ana Estonya bankalarına kimlik doğrulaması yapmak için evde kullanabilirsiniz. Kullanıcının gördüğü tek şey bir kart/pin İstemidir ve doğrulandığını bildikleri bir sonraki şeydir.

6
blowdart

Müşterimiz, dokunmatik ekran kiosk sistemlerinin kimliğini doğrulamak için istemci sertifikalarını kullanır. Sistemler bayilere dağıtılır ve her biri kendi CA kök sertifikasının yanı sıra benzersiz bir istemci sertifikasını yükler.

İstemci sertifikası, satıcıdan cihazın başlangıcında manuel kimlik doğrulaması yapmasını gerektirmeden kiosk sisteminin web sunucusunda kimliğini doğrulamak için kullanılır. Bireysel bir sistemin kapatılması gerekiyorsa, müşterimizin sertifikayı iptal etmesi kolaydır.

5
Martijn Heemels

Fransa Ekonomi Bakanı, kullanıcı kimlik doğrulaması için SSL sertifikası kullanan vergi yönetimi (çevrimiçi vergi ödemesi, son tarihler hakkında bilgi, form indirme ...) için halka açık bir web sitesi yayınladı. AviD ♦ tarafından böyle bir projenin ana zorluğu olduğuna işaret eden kullanıcı kaydı (bu rol, PKI'da bir Kayıt Yetkilisi ile ilişkilendirilir), bu yönetim zaten yeterli bilgiye sahip olduğundan çözülmüştür. vergi mükelleflerini saptar.

4
Jcs

HTTP/S tabanlı ActiveSync protokolünde çeşitli tarayıcı sertifikaları kullanılır.

Birçok e-posta yöneticisi, bir mobil cihazın kimliğini doğrulamak için sertifikalar kullanır, böylece kullanıcı parolasını değiştirdiğinde mobil e-posta aniden çalışmaz.

1

İstemci sertifikaları kimlik doğrulama için en iyi kaliteye sahiptir. Ancak, tavuk ve yumurta sorunu nedeniyle kullanıcıların ciddi bir sertifika edinmeleri için hiçbir nedenleri yoktur (teslimat yüz yüze işlem olması gerektiğinden para ve zamana mal olur) çünkü az sayıda site bunları kullanır ve site yöneticilerinin bu sertifikaları aktif olarak desteklemek için hiçbir nedeni yoktur. kullanıcılarının genellikle sertifikası yoktur.

Kurumsal sistemler farklıdır, çünkü güvenlik gereksinimi yeterince yüksekse, bir PKI altyapısının küresel maliyeti mükemmel bir şekilde ölçülebilirdir.

Ancak, bir ulusal kimlik kartı (pasaporttan bahsetmemek) için gerçek toplam maliyet ve prosedürün ne olduğunu hatırladığınızda, ulusal bir yönetim tarafından oluşturulan bir sertifika eklemek fazla bir şey eklemez ve idareler gibi kurumsal sitelerle tüm kimlik doğrulama sorularını güzelce çözer, bankalar, ... Tabii ki bunu tüccar siteleri ya da çok az kontrol edilen forumlar için kullanmam

1
Serge Ballesta

Akıllı kart kimlik doğrulaması sunan bir site geliştirmeye çalışıyorum. Kullanıcı bir USB kart okuyucu bağlar, siteye gider ve giriş yapmak istediğinde kartı takar ve bir PIN girer. Sorun şu ki, sistem bir Java Applet kullanıyor ve bu uygulamalar artık Chrome veya MS Edge tarafından desteklenmiyor). kullanmayın Java Applets ve tüm büyük tarayıcıların Java Applet'lerin PC'nizdeki donanım ile gelecekte etkileşime girmesini durdurduğunu görebileceğimiz için bu zamana karşı bir yarış).

0
Totoro53

Tarayıcı kapsamını geçmek için OP kapsamını genişletirsek. İstemci sertifikaları tarayıcı dışı bağlamda da kullanılabilir. Örneğin Docker, uzak bir docker istemcisi ile cinlerine olan bağlantılarını korumak için TLS ve istemci sertifikaları kullanır.

Bu yine de yönetilmeli, ancak tam teşekküllü bir CA'dan geçmesi gerekmiyor, makineler tarafından kullanılan tüm sertifikaları yönetmek için dahili bir şirket CA'sı olabilir.

0