Опасностите от безплатните цифрови сертификати

Let's Encrypt, органът за цифрови сертификати с отворен код, подкрепен от индустриалните стабилни компании Mozilla, Cisco и Akamai, обяви пускането на първия си сертификат преди два дни. Предназначен да улесни прехода към протокола TLS (Transport Layer Security), по-сигурният наследник на SSL, Let's Encrypt предлага инструменти за автоматизиране на издаването, конфигурирането и подновяването на сертификати.

Ускоряването на приемането на TLS чрез рационализиране на веригата за доставка на сертификати е достойна цел, но може да има непредвидени последици, включително нови потенциални уязвимости и увеличаване на главоболията при управлението на сертификати.

Повече сертификати в обращение означават, че кибер престъпниците ще издават повече фалшиви версии, което затруднява знанието на кои от тях да се доверите. Това вече е случаят с престъпници, злоупотребяващи с безплатните сертификати, издадени от CloudFlare. Анализаторите на Gartner изчисляват, че половината от всички мрежови атаки ще използват SSL / TLS до 2017 г.

Не помага, че много от съществуващите системи за защита от заплахи не са в състояние да проверяват криптиран трафик. Предприятията ще имат повече слепи зони, опитвайки се да разберат къде се крият нападателите в криптирания поток от данни.

„Използването на сертификати, за да изглеждате надеждни и да се скриете в криптиран трафик, бързо се превръща по подразбиране за кибернападателите - което почти противодейства на целта за добавяне на повече криптиране и опит за създаване на по-надежден Интернет с повече безплатни сертификати“, каза Кевин Бочек, вицепрезидент по стратегията за сигурност и разузнаването за заплахи във Venafi, доставчик на репутация на корпоративни сертификати.

Безплатните и самоподписани сертификати също са проблематични, защото всеки с домейн може да ги получи. В миналото ISRG каза, че хората дори няма да имат нужда да създават акаунт, за да получат сертификат.

Предприятията не трябва да заменят съществуващи платени сертификати с безплатни - безплатните сертификати не потвърждават самоличността и местоположението на бизнеса на притежателя на сертификата, предупреди Крейг Шпицле, изпълнителен директор и президент на Алианса за онлайн доверие. „От гледна точка на измама и защита на марката, организациите както в публичния, така и в частния сектор трябва да прилагат OV или EV SSL сертификати“, каза Шпицле.

Наличието на безплатни сертификати също ще изостри предизвикателствата, пред които са изправени организациите, управляващи съществуващите сертификати. Големите организации, особено Global 5000, вече трябва да управляват хиляди сертификати от дузина различни сертифициращи органи. Ако ново приложение или хардуер използва безплатни сертификати, тогава предприятието има нов сертифициращ орган в своята мрежа. Дори ако за сертификатите се грижи автоматично, ИТ екипите все още трябва да управляват този списък и да проследяват кой кой сертификат издава и кой контролира, каза Бочек.

Въпреки подобни потенциални трудности, преминаването към получаване на повече сайтове, които да приемат TLS, е положително. Let's Encrypt планира да направи сертификатите общодостъпни през седмицата на 16 ноември. Проектът планира да издава все повече сертификати, започвайки с малък брой бели домейни. Собствениците на домейни могат да се регистрират като бета тестери и да добавят своите домейни в белия списък от сайта Let's Encrypt.

Текущият сертификат не е кръстосано подписан, така че зареждането на страницата през HTTPS ще даде на посетителите ненадеждно предупреждение. Предупреждението изчезва, след като коренът ISRG се добави към хранилището за доверие. ISRG очаква сертификатът да бъде кръстосано подписан от корена на IdenTrusts след около месец, след което сертификатите ще работят почти навсякъде. Проектът също така подаде първоначални приложения до основните програми за Mozilla, Google, Microsoft и Apple, така че Firefox, Chrome, Edge и Safari да разпознаят сертификатите Let's Encrypt.