Programmering

Farene ved gratis digitale sertifikater

Let’s Encrypt, myndighet med åpen kildekode for digitalt sertifikat støttet av industriens dyktige Mozilla, Cisco og Akamai, kunngjorde utgivelsen av sitt første sertifikat for to dager siden. Ment å lette overgangen til TLS (Transport Layer Security) protokoll, jo sikrere etterfølger til SSL, tilbyr Let's Encrypt verktøy for å automatisere hvordan sertifikater utstedes, konfigureres og fornyes.

Akselerere TLS-adopsjon ved å effektivisere sertifikatforsyningskjeden er et verdig mål, men det kan ha utilsiktede konsekvenser, inkludert nye potensielle sårbarheter og økning i problemer med sertifikatadministrasjon.

Flere sertifikater i omløp betyr at nettkriminelle vil utstede flere falske versjoner, noe som gjør det vanskelig å vite hvilke de skal stole på. Dette er allerede tilfelle med kriminelle som misbruker gratis sertifikater utstedt av CloudFlare. Gartner-analytikere anslår at halvparten av alle nettverksangrep vil bruke SSL / TLS innen 2017.

Det hjelper ikke at mange av de eksisterende trusselsikringssystemene ikke er i stand til å inspisere kryptert trafikk. Bedrifter vil ha flere blinde flekker, og prøve å finne ut hvor angriperne gjemmer seg inne i den krypterte datastrømmen.

"Å bruke sertifikater for å se pålitelige og gjemme seg inne i kryptert trafikk blir raskt standard for nettangripere - noe som nesten motvirker hele formålet med å legge til mer kryptering og prøve å skape et mer pålitelig internett med flere gratis sertifikater," sa Kevin Bocek, visepresident for sikkerhetsstrategi og trusseletterretning hos Venafi, en leverandør av omdømmesertifikater.

Gratis og selvsignerte sertifikater er også problematiske fordi alle med et domene kan få dem. ISRG har tidligere sagt at folk ikke engang trenger å opprette en konto for å få et sertifikat.

Bedrifter bør ikke erstatte eksisterende, betalte sertifikater med gratis - gratis sertifikater validerer ikke sertifikatinnehaverens identitet og forretningssted, advarte Craig Spiezle, administrerende direktør og president for Online Trust Alliance. "Fra et svindel- og merkevarebeskyttelsesperspektiv, bør organisasjoner i både offentlig og privat sektor distribuere OV- eller EV SSL-sertifikater," sa Spiezle.

Tilgjengeligheten av gratis sertifikater vil også forsterke utfordringene organisasjoner står overfor å administrere eksisterende sertifikater. Store organisasjoner, spesielt Global 5000, må allerede administrere tusenvis av sertifikater fra så mange som et dusin forskjellige sertifikatmyndigheter. Hvis en ny applikasjon eller maskinvare bruker gratis sertifikater, har bedriften en ny sertifikatmyndighet i nettverket. Selv om sertifikatene blir tatt hånd om automatisk, trenger IT-teamene fortsatt å administrere denne listen og spore hvem som utsteder hvilket sertifikat og hvem som har kontrollen, sa Bocek.

Til tross for slike potensielle vanskeligheter, er det positivt å gå mot å få flere nettsteder til å ta i bruk TLS. La oss kryptere planer om å gjøre sertifikater generelt tilgjengelige uken 16. november. Prosjektet planlegger å utstede flere og flere sertifikater, med utgangspunkt i et lite antall hviteliste domener. Domeneeiere kan registrere seg som betatestere og få domenene sine lagt til på hvitelisten fra Let's Encrypt-nettstedet.

Gjeldende sertifikat er ikke kryssignert, så innlasting av siden over HTTPS vil gi besøkende en ikke-klarert advarsel. Advarselen forsvinner når ISRG-roten er lagt til tillitsbutikken. ISRG forventer at sertifikatet blir kryssignert av roten til IdenTrusts om en måned, og da vil sertifikatene fungere nesten hvor som helst. Prosjektet sendte også inn første applikasjoner til rotprogrammene for Mozilla, Google, Microsoft og Apple, slik at Firefox, Chrome, Edge og Safari ville gjenkjenne Let's Encrypt-sertifikater.