Programmēšana

Bezmaksas digitālo sertifikātu bīstamība

Let’s Encrypt, atvērtā koda digitālā sertifikāta pārvalde, kuru atbalsta nozares pārstāvji Mozilla, Cisco un Akamai, pirms divām dienām paziņoja par sava pirmā sertifikāta izlaišanu. Paredzēts, lai atvieglotu pāreju uz TLS (Transport Layer Security) protokolu, drošāku SSL pēcteci, Let's Encrypt piedāvā rīkus, lai automatizētu sertifikātu izsniegšanu, konfigurēšanu un atjaunošanu.

TLS ieviešanas paātrināšana, pilnveidojot sertifikātu piegādes ķēdi, ir cienīgs mērķis, taču tam var būt neparedzētas sekas, tostarp jaunas potenciālās ievainojamības un sertifikātu pārvaldības problēmu pieaugums.

Vairāk apgrozībā esošu sertifikātu nozīmē, ka kibernoziedznieki izdos vairāk viltotu versiju, tāpēc būs grūti zināt, kurām uzticēties. Tas jau ir gadījums, kad noziedznieki ļaunprātīgi izmanto CloudFlare izsniegtos bezmaksas sertifikātus. Gartner analītiķi lēš, ka puse no visiem tīkla uzbrukumiem līdz 2017. gadam izmantos SSL / TLS.

Tas nepalīdz, ja daudzas no esošajām draudu aizsardzības sistēmām nespēj pārbaudīt šifrētu trafiku. Uzņēmumiem būs vairāk aklo zonu, mēģinot noskaidrot, kur uzbrucēji slēpjas šifrētās datu plūsmas iekšienē.

"Kiberuzbrucēju noklusējums ātri kļūst par sertifikātu izmantošanu, lai parādītu uzticamību un paslēptu šifrētu trafiku - tas gandrīz neitralizē visu mērķi pievienot vairāk šifrēšanas un mēģināt izveidot uzticamāku internetu ar vairāk bezmaksas sertifikātiem," sacīja Kevins Bočeks. uzņēmuma sertifikātu reputācijas nodrošinātāja Venafi drošības stratēģijas un draudu izlūkošanas viceprezidents.

Bezmaksas un pašu parakstīti sertifikāti ir arī problemātiski, jo tos var iegūt ikviens, kam ir domēns. ISRG agrāk ir teicis, ka cilvēkiem pat nebūs jāizveido konts, lai iegūtu sertifikātu.

Uzņēmumiem nevajadzētu aizstāt esošos apmaksātos sertifikātus ar bezmaksas sertifikātiem - bezmaksas sertifikāti neapstiprina sertifikāta turētāja identitāti un uzņēmējdarbības vietu, brīdināja Kreigs Spiezle, tiešsaistes uzticības alianses izpilddirektors un prezidents. "No krāpšanas un zīmola aizsardzības viedokļa organizācijām gan publiskajā, gan privātajā sektorā būtu jāizvieto OV vai EV SSL sertifikāti," sacīja Spiezle.

Bezmaksas sertifikātu pieejamība arī saasinās problēmas, ar kurām organizācijas saskaras, pārvaldot esošos sertifikātus. Lielām organizācijām, it īpaši Global 5000, jau ir jāpārvalda tūkstošiem sertifikātu no vairāk nekā desmit dažādām sertifikātu iestādēm. Ja jaunā lietojumprogramma vai aparatūra izmanto bezmaksas sertifikātus, uzņēmuma tīklā ir jauna sertifikātu iestāde. Pat ja par sertifikātiem rūpējas automātiski, IT komandām joprojām ir jāpārvalda šis saraksts un jāseko, kurš kuru sertifikātu izsniedz un kurš kontrolē, sacīja Bočeks.

Neskatoties uz šādām iespējamām grūtībām, virzība uz to, lai vairāk vietņu ieviestu TLS, ir pozitīva. Šifrēsim plānus padarīt sertifikātus vispārpieejamus 16. novembra nedēļā. Projektā plānots izsniegt arvien vairāk sertifikātu, sākot ar nelielu skaitu baltajā sarakstā iekļauto domēnu. Domēnu īpašnieki var reģistrēties kā beta testētāji un panākt, lai viņu domēni tiktu pievienoti baltajam sarakstam vietnē Let's Encrypt.

Pašreizējais sertifikāts nav savstarpēji parakstīts, tāpēc lapas ielāde, izmantojot HTTPS, apmeklētājiem sniegs neuzticamu brīdinājumu. Brīdinājums pazūd, kad ISRG sakne ir pievienota uzticības veikalam. ISRG sagaida, ka sertifikātu pēc mēneša parakstīs IdenTrusts saknes, un tad sertifikāti darbosies gandrīz visur. Projektā tika iesniegti arī sākotnējie pieteikumi Mozilla, Google, Microsoft un Apple saknes programmām, lai Firefox, Chrome, Edge un Safari atpazītu Let's Encrypt sertifikātus.

$config[zx-auto] not found$config[zx-overlay] not found