Penyerang dapat memanipulasi perutean internet, seperti melalui pembajakan Border Gateway Protocol (BGP), untuk mengelabui Otoritas Sertifikat (CA) agar menerbitkan sertifikat digital untuk domain yang tidak mereka miliki.
Kelemahan ini ada karena metode validasi domain tradisional sering kali hanya memeriksa dari satu lokasi jaringan, sehingga rentan terhadap intersepsi atau pemalsuan oleh peretas.
Untuk mengatasi celah keamanan ini, diperkenalkanlah Multi-Perspective Issuance Corroboration (MPIC) sebagai lapisan pertahanan tambahan yang krusial.
Tujuan MPIC
- MPIC dirancang untuk mencegah penerbitan sertifikat digital yang tidak sah akibat manipulasi jaringan seperti BGP hijacking atau DNS spoofing.
- Dengan memverifikasi kontrol domain dari beberapa lokasi jaringan independen, MPIC menambah lapisan keamanan terhadap serangan berbasis infrastruktur internet.
Cara Kerja MPIC
Sesuai dengan aturan baru dari Forum CA/Browser, Otoritas Sertifikat yang menerbitkan Sertifikat SSL/TLS atau S/MIME harus memvalidasi kontrol domain menggunakan beberapa perspektif jaringan independen.
Persyaratan ini berlaku untuk pemeriksaan Domain Control Validation (DCV) and Certificate Authority Authorization (CAA):
- Sertifikat SSL hanya akan diterbitkan jika hasil validasi dari berbagai perspektif jaringan konsisten.
- Berlaku untuk semua metode validasi umum:
- DNS CNAME.
- DNS TXT.
- HTTP.
- Alamat IP.
- ACME protocol (http-01 and dns-01).
- Jika ada ketidaksesuaian dari salah satu perspektif, permintaan pengajuan sertifikat akan ditolak.
0 Komentar