Programování

Nebezpečí bezplatných digitálních certifikátů

Let’s Encrypt, autorita digitálního certifikátu s otevřeným zdrojem, podporovaná stálými průmyslovými společnostmi Mozilla, Cisco a Akamai, oznámila vydání svého prvního certifikátu před dvěma dny. Let's Encrypt, který je určen k usnadnění přechodu na protokol TLS (Transport Layer Security), bezpečnější nástupce SSL, nabízí nástroje pro automatizaci způsobu vydávání, konfigurace a obnovování certifikátů.

Urychlení přijetí TLS zefektivněním dodavatelského řetězce certifikátů je hodným cílem, ale může mít nezamýšlené důsledky, včetně nových potenciálních zranitelností a zvýšení potíží se správou certifikátů.

Více certifikátů v oběhu znamená, že počítačoví zločinci vydají více padělaných verzí, takže je obtížné zjistit, kterým z nich důvěřovat. To je již případ zločinců zneužívajících bezplatné certifikáty vydané společností CloudFlare. Analytici společnosti Gartner odhadují, že polovina všech síťových útoků bude do roku 2017 používat SSL / TLS.

Nepomáhá to, že mnoho stávajících systémů ochrany před hrozbami není schopno kontrolovat šifrovaný provoz. Podniky budou mít více slepých míst a budou se snažit zjistit, kde se útočníci skrývají uvnitř šifrovaného datového proudu.

"Používání certifikátů k tomu, aby vypadali důvěryhodně a skryly se uvnitř šifrovaného provozu, se rychle stává výchozím bodem pro kybernetické útočníky - což téměř vyvažuje celý účel přidání dalšího šifrování a pokus o vytvoření důvěryhodnějšího internetu s více certifikáty zdarma," řekl Kevin Bocek viceprezident pro bezpečnostní strategii a informace o hrozbách ve společnosti Venafi, poskytovatel reputace podnikových certifikátů.

Bezplatné a podepsané certifikáty jsou také problematické, protože je může získat kdokoli s doménou. ISRG v minulosti říkala, že pro získání certifikátu si lidé ani nebudou muset vytvořit účet.

Podniky by neměly nahradit stávající placené certifikáty bezplatnými certifikáty - bezplatné certifikáty nevalidují totožnost a obchodní sídlo držitele certifikátu, varoval Craig Spiezle, výkonný ředitel a prezident Alliance Online Trust. "Z pohledu podvodu a ochrany značky by organizace ve veřejném i soukromém sektoru měly nasadit certifikáty OV nebo EV SSL," uvedl Spiezle.

Dostupnost bezplatných certifikátů také zhorší výzvy, kterým organizace čelí při správě stávajících certifikátů. Velké organizace, zejména Global 5000, již musí spravovat tisíce certifikátů od tuctu různých certifikačních autorit. Pokud nová aplikace nebo hardware používá bezplatné certifikáty, má podnik ve své síti novou certifikační autoritu. I když se o certifikáty postará automaticky, IT týmy stále musí tento seznam spravovat a sledovat, kdo který certifikát vydává a kdo je pod kontrolou, uvedl Bocek.

Přes tyto potenciální potíže je posun směrem k tomu, aby více webů přijalo protokol TLS, pozitivní. Let’s Encrypt plánuje zpřístupnit certifikáty obecně v týdnu 16. listopadu. Projekt plánuje vydávat další a další certifikáty, počínaje malým počtem domén na seznamu povolených. Vlastníci domén se mohou zaregistrovat jako beta testeři a nechat si jejich domény přidat na bílou listinu ze stránky Let's Encrypt.

Aktuální certifikát není křížově podepsán, takže načítání stránky přes HTTPS poskytne návštěvníkům nedůvěryhodné varování. Varování zmizí, jakmile je kořen ISRG přidán do úložiště důvěryhodnosti. ISRG očekává, že certifikát bude křížově podepsán rootem IdenTrusts asi za měsíc, kdy budou certifikáty fungovat téměř kdekoli. Projekt také odeslal počáteční aplikace do kořenových programů pro Mozillu, Google, Microsoft a Apple, aby Firefox, Chrome, Edge a Safari rozpoznaly certifikáty Let's Encrypt.

$config[zx-auto] not found$config[zx-overlay] not found