Peneliti Google Mengajukan Solusi Mengatasi Masalah SSL

 •  2   • 221 

Dalam sebuah makalah berjudul Certificate Authority Transparency and Auditability (Keterauditan dan Transparansi Otoritas Sertifikat), Peneliti Google Adam Langley dan Ben Laurie mengajukan proposal pengukuran baru untuk meningkatkan keterpercayaan public key infrastructure (PKI) yang melandasi HTTPS. Ide peneliti ini berbasis pada daftar publik seluruh sertifikat yang pern dikeluarkan oleh otoritas sertifikat.

Ada dua masalah dengan sistem saat ini untuk situs web yang aman, Jika peretas berhasil melakukan penetrasi ke salah satu dari 100 otoritas sertifikat yang ada dan mengambil sertifikat untuk sebuah server seperti ebay.com, pengguna situs tidak memiliki cara untuk menemukan fraud tersebut. Selain itu tidak mungkin bagi perusahaan seperti eBay untuk menentukan bahwa sebuah Certificate Authorities(CA) mengeluarkan sertifikat yang tidak diotorisasi untuk server miliknya.

Kedua peneliti ini percaya bahwa daftar publik akan membantu mengatasi kedua masalah tersebut. Ketika sebuah halaman HTTPS diakses, browser akan mengecek ke sertifikat yang diberikan oleh server apakah ada di daftar publik. Jika sertifikat tersebut tidak ada maka browser akan memperlakukannya sebagai “tidak dipercaya”. Perusahaan juga dapat memantau secara aktif daftar tersebut untuk menemukan sertifikat palsu. Kriminal yang mampu mengambil sertifikat palsu tidak dapat menggunakannya kembali. Merkle signature trees akan digunakan untuk memastikan integritas daftar ini. Apakah proposal ini akan diimplementasikan, dan jika iya dalam bentuk apa dan kapan belum ditentukan. Alternatif lain dalam bentuk ekstensi Firefox terdapat Convergence yang dikembangkan oleh pakar keamanan Moxie Marlinspike.