Nedávno spoločnosť Google zistila, že certifikačná autorita (CA) vydala falšované certifikáty pre domény Google. To ohrozuje závisieť od dodaných dodaním bezpečnosti vrstvy (TLS), ako aj bezpečné http (https), čo umožňuje držiteľom kovania certifikátov robiť muž-in-the-stredného útoku.
Aby ste potvrdili, že webová stránka, ktorú skontrolujete, je naozaj, kto poistný nárok je, váš prehliadač zabezpečí, že certifikát poskytovaný serverom, ktorý pristupuje, bol podpísaný dôveryhodnou ca. Keď niekto požiada o osvedčenie z CA, musia potvrdiť totožnosť osoby, ktorá podáva žiadosť. Váš prehliadač, ako aj operačný systém, majú súbor nakoniec dôveryhodných CAS (s názvom Root CAS). Ak bolo osvedčenie vydané jedným z nich, alebo medziprodukt ca, ktorý dôveruje, budete závisieť od pripojenia. Táto celá štruktúra závisí od toho, aby sa nazýva reťazec dôvery.
S kovaným certifikátom môžete presvedčiť klienta, že váš server je naozaj http://www.google.com. Môžete to využiť na sedenie medzi pripojením klienta, ako aj skutočným serverom Google, odposluchom ich relácie.
V tomto prípade to tak urobil medziprodukt. To je desivé, pretože podkopáva bezpečnosť, ktorú nás všetkých závisí od každodenných pre všetky bezpečné transakcie na internete. Certifikát pinning je jeden nástroj, ktorý môže byť využitý tak, aby odolal tento typ útoku. Funguje tak, že sa združuje držanie s určitým certifikátom. Ak sa zmení, pripojenie nebude dôveryhodné.
Centralizovaná povaha TLS nefunguje, ak nemôžete závisieť od orgánov. Bohužiaľ, nemôžeme.