Programmering

Faren ved gratis digitale certifikater

Let’s Encrypt, open source digital certifikatmyndighed bakket op af industriens dygtige Mozilla, Cisco og Akamai, meddelte frigivelsen af ​​sit første certifikat for to dage siden. Med henblik på at lette overgangen til TLS (Transport Layer Security) -protokol, jo mere sikker efterfølger til SSL, tilbyder Let's Encrypt værktøjer til at automatisere, hvordan certifikater udstedes, konfigureres og fornyes.

At fremskynde vedtagelsen af ​​TLS ved at strømline certifikatforsyningskæden er et værdigt mål, men det kan have utilsigtede konsekvenser, herunder nye potentielle sårbarheder og en stigning i besvær med certifikatadministration.

Flere certifikater i omløb betyder, at cyberkriminelle udsteder flere falske versioner, hvilket gør det vanskeligt at vide, hvilke der skal stole på. Dette er allerede tilfældet med kriminelle, der misbruger de gratis certifikater udstedt af CloudFlare. Gartner-analytikere vurderer, at halvdelen af ​​alle netværksangreb vil bruge SSL / TLS inden 2017.

Det hjælper ikke, at mange af de eksisterende trusselsbeskyttelsessystemer ikke er i stand til at inspicere krypteret trafik. Virksomheder vil have flere blinde pletter og forsøge at finde ud af, hvor angriberne gemmer sig inde i den krypterede datastrøm.

"Brug af certifikater til at se pålidelige og skjule inde i krypteret trafik bliver hurtigt standard for cyberangribere - hvilket næsten modvirker hele formålet med at tilføje mere kryptering og forsøge at skabe et mere pålideligt internet med flere gratis certifikater," sagde Kevin Bocek, vicepræsident for sikkerhedsstrategi og trusselsunderretning hos Venafi, en leverandør af omdømme til virksomhedscertifikater.

Gratis og selvsignerede certifikater er også problematiske, fordi alle med et domæne kan få dem. ISRG har tidligere sagt, at folk ikke engang behøver at oprette en konto for at få et certifikat.

Virksomheder bør ikke erstatte eksisterende, betalte certifikater med gratis - de gratis certifikater validerer ikke identitet og forretningssted for certifikatindehaveren, advarede Craig Spiezle, administrerende direktør og præsident for Online Trust Alliance. "Fra et svindel- og brandbeskyttelsesperspektiv, bør organisationer i både den offentlige og private sektor implementere OV- eller EV SSL-certifikater," sagde Spiezle.

Tilgængeligheden af ​​gratis certifikater vil også forværre de udfordringer, som organisationer står over for ved at administrere eksisterende certifikater. Store organisationer, især Global 5000, skal allerede administrere tusinder af certifikater fra så mange som et dusin forskellige certifikatmyndigheder. Hvis en ny applikation eller hardware bruger gratis certifikater, har virksomheden en ny certifikatmyndighed på sit netværk. Selvom certifikaterne bliver taget hånd om automatisk, skal it-teams stadig styre denne liste og spore, hvem der udsteder hvilket certifikat, og hvem der har kontrol, sagde Bocek.

På trods af sådanne potentielle vanskeligheder er bevægelsen mod at få flere websteder til at vedtage TLS en positiv. Lad os kryptere planer om at gøre certifikater generelt tilgængelige ugen den 16. november. Projektet planlægger at udstede flere og flere certifikater begyndende med et lille antal hvidliste domæner. Domænejere kan tilmelde sig som betatestere og få deres domæner føjet til hvidlisten fra Let's Encrypt-webstedet.

Det nuværende certifikat er ikke krydssigneret, så indlæsning af siden over HTTPS vil give besøgende en upålidelig advarsel. Advarslen forsvinder, når ISRG-roden er føjet til tillidsbutikken. ISRG forventer, at certifikatet krydssigneres af IdenTrusts 'rod om cirka en måned, på hvilket tidspunkt certifikaterne fungerer næsten overalt. Projektet sendte også indledende ansøgninger til rodprogrammerne til Mozilla, Google, Microsoft og Apple, så Firefox, Chrome, Edge og Safari genkendte Let's Encrypt-certifikater.