Pogibelji besplatnih digitalnih certifikata

Let's Encrypt, tijelo s otvorenim kodom za digitalne certifikate iza kojeg stoje industrijski mozilla Mozilla, Cisco i Akamai, najavilo je objavljivanje svog prvog certifikata prije dva dana. Namijenjen olakšavanju prijelaza na TLS (Transport Layer Security) protokol, sigurniji nasljednik SSL-a, Let's Encrypt nudi alate za automatizaciju izdavanja, konfiguriranja i obnavljanja certifikata.

Ubrzanje usvajanja TLS-a usmjeravanjem lanca opskrbe certifikatima dostojan je cilj, ali može imati neželjene posljedice, uključujući nove potencijalne ranjivosti i povećanje gnjavaže u upravljanju certifikatima.

Više potvrda u optjecaju znači da će cyber kriminalci izdavati više krivotvorenih verzija, što će otežati znati kojim se vjeruje. To je već slučaj s kriminalcima koji zloupotrebljavaju besplatne certifikate izdane od CloudFlare. Gartnerovi analitičari procjenjuju da će polovica svih mrežnih napada koristiti SSL / TLS do 2017. godine.

Ne pomaže što mnogi od postojećih sustava zaštite od prijetnji nisu sposobni pregledati šifrirani promet. Poduzeća će imati više slijepih mjesta, pokušavajući shvatiti gdje se napadači skrivaju unutar kriptiranog toka podataka.

"Korištenje certifikata da bi se činilo pouzdanim i sakrilo unutar šifriranog prometa brzo postaje zadana postavka za cyber napadače - što se gotovo poništava u cijelu svrhu dodavanja više šifriranja i pokušaja stvaranja pouzdanijeg Interneta s više besplatnih certifikata", rekao je Kevin Bocek, potpredsjednik sigurnosne strategije i obavještajnih podataka o prijetnjama u tvrtki Venafi, dobavljaču reputacije poslovnog certifikata.

Besplatni i samopotpisani certifikati također su problematični jer ih svatko s domenom može dobiti. ISRG je u prošlosti rekao da ljudi neće trebati niti stvoriti račun da bi dobili certifikat.

Poduzeća ne bi trebala zamijeniti postojeće, plaćene certifikate besplatnim - besplatni certifikati ne potvrđuju identitet i poslovno mjesto vlasnika certifikata, upozorio je Craig Spiezle, izvršni direktor i predsjednik Online Trust Alliancea. "Iz perspektive prijevare i zaštite robne marke, organizacije u javnom i privatnom sektoru trebale bi primijeniti OV ili EV SSL certifikate", rekao je Spiezle.

Dostupnost besplatnih certifikata također će pogoršati izazove s kojima se organizacije suočavaju u upravljanju postojećim certifikatima. Velike organizacije, posebno Global 5000, već moraju upravljati tisućama certifikata od desetak različitih tijela za izdavanje certifikata. Ako nova aplikacija ili hardver koristi besplatne certifikate, tada poduzeće ima novo tijelo za izdavanje certifikata na svojoj mreži. Čak i ako se za certifikate automatski brine, IT timovi i dalje trebaju upravljati tim popisom i pratiti tko izdaje taj certifikat i tko ima kontrolu, rekao je Bocek.

Unatoč takvim potencijalnim poteškoćama, pozitivan je pomak prema privlačenju većeg broja web lokacija za usvajanje TLS-a. Let's Encrypt planira učiniti certifikate općenito dostupnima u tjednu 16. studenoga. Projekt planira izdavati sve više i više certifikata, počevši s malim brojem domena s bijele liste. Vlasnici domena mogu se prijaviti kao beta testeri i dodati svoje domene na popis dopuštenih s web stranice Let's Encrypt.

Trenutni certifikat nije međusobno potpisan, pa će učitavanje stranice putem HTTPS-a posjetiteljima dati upozorenje bez povjerenja. Upozorenje nestaje kad se korijen ISRG doda u trgovinu povjerenja. ISRG očekuje da će certifikat križno potpisati korijen IdenTrustsa za otprilike mjesec dana, a u tom će trenutku certifikati raditi gotovo bilo gdje. Projekt je također podnio početne aplikacije korijenskim programima za Mozillu, Google, Microsoft i Apple kako bi Firefox, Chrome, Edge i Safari prepoznali Let's Encrypt certifikate.