Let’s Encrypt, η αρχή ψηφιακού πιστοποιητικού ανοιχτού κώδικα που υποστηρίζεται από τους πρωτοπόρους της βιομηχανίας Mozilla, Cisco και Akamai, ανακοίνωσε την κυκλοφορία του πρώτου πιστοποιητικού της πριν από δύο ημέρες. Προορίζεται να διευκολύνει τη μετάβαση στο πρωτόκολλο TLS (Transport Layer Security), τον πιο ασφαλή διάδοχο του SSL, το Let's Encrypt προσφέρει εργαλεία για την αυτοματοποίηση του τρόπου έκδοσης, διαμόρφωσης και ανανέωσης πιστοποιητικών.
Η επιτάχυνση της υιοθέτησης του TLS με τον εξορθολογισμό της αλυσίδας εφοδιασμού πιστοποιητικών είναι ένας άξιος στόχος, αλλά μπορεί να έχει απρόβλεπτες συνέπειες, συμπεριλαμβανομένων νέων πιθανών τρωτών σημείων και της αύξησης των ταραχών στη διαχείριση πιστοποιητικών.
Περισσότερα πιστοποιητικά που κυκλοφορούν σημαίνει ότι οι εγκληματίες στον κυβερνοχώρο θα εκδίδουν περισσότερες πλαστές εκδόσεις, καθιστώντας δύσκολο να γνωρίζουμε ποιες πρέπει να εμπιστεύονται. Αυτό συμβαίνει ήδη με εγκληματίες που κάνουν κατάχρηση των δωρεάν πιστοποιητικών που εκδίδονται από το CloudFlare. Οι αναλυτές της Gartner εκτιμούν ότι οι μισές από τις επιθέσεις δικτύου θα χρησιμοποιούν SSL / TLS έως το 2017.
Δεν βοηθά πολλά από τα υπάρχοντα συστήματα προστασίας από απειλές να μην είναι σε θέση να ελέγχουν την κρυπτογραφημένη κίνηση. Οι επιχειρήσεις θα έχουν περισσότερα τυφλά σημεία, προσπαθώντας να καταλάβουν πού κρύβονται οι εισβολείς εντός της κρυπτογραφημένης ροής δεδομένων.
«Η χρήση πιστοποιητικών για να φαίνεται αξιόπιστη και να κρύβεται μέσα στην κρυπτογραφημένη κίνηση γίνεται γρήγορα η προεπιλογή για τους κυβερνοεπιτιθέμενους - που αντισταθμίζει σχεδόν ολόκληρο τον σκοπό της προσθήκης περισσότερης κρυπτογράφησης και της προσπάθειας δημιουργίας ενός πιο αξιόπιστου Διαδικτύου με περισσότερα δωρεάν πιστοποιητικά», δήλωσε ο Kevin Bocek, αντιπρόεδρος στρατηγικής ασφάλειας και πληροφοριών για απειλές στο Venafi, έναν πάροχο φήμης εταιρικού πιστοποιητικού.
Τα πιστοποιητικά δωρεάν και αυτο-υπογεγραμμένα είναι επίσης προβληματικά, επειδή οποιοσδήποτε με τομέα μπορεί να τα λάβει. Η ISRG είπε στο παρελθόν ότι οι άνθρωποι δεν θα χρειαστεί καν να δημιουργήσουν λογαριασμό για να λάβουν πιστοποιητικό.
Οι επιχειρήσεις δεν πρέπει να αντικαθιστούν τα υπάρχοντα, πληρωμένα πιστοποιητικά με δωρεάν - τα δωρεάν πιστοποιητικά δεν επικυρώνουν την ταυτότητα και την τοποθεσία της επιχείρησης του κατόχου του πιστοποιητικού, προειδοποίησε ο Craig Spiezle, εκτελεστικός διευθυντής και πρόεδρος της Online Trust Alliance. «Από την άποψη της απάτης και της προστασίας της επωνυμίας, οι οργανισμοί τόσο του δημόσιου όσο και του ιδιωτικού τομέα θα πρέπει να χρησιμοποιούν πιστοποιητικά OV ή EV SSL», δήλωσε ο Spiezle.
Η διαθεσιμότητα δωρεάν πιστοποιητικών θα επιδεινώσει επίσης τις προκλήσεις που αντιμετωπίζουν οι οργανισμοί στη διαχείριση των υπαρχόντων πιστοποιητικών. Οι μεγάλοι οργανισμοί, ειδικά το Global 5000, πρέπει ήδη να διαχειρίζονται χιλιάδες πιστοποιητικά από δώδεκα διαφορετικές αρχές έκδοσης πιστοποιητικών. Εάν μια νέα εφαρμογή ή υλικό χρησιμοποιεί δωρεάν πιστοποιητικά, τότε η επιχείρηση διαθέτει μια νέα αρχή έκδοσης πιστοποιητικών στο δίκτυό της. Ακόμα κι αν τα πιστοποιητικά φροντίζονται αυτόματα, οι ομάδες πληροφορικής πρέπει να διαχειριστούν αυτήν τη λίστα και να παρακολουθήσουν ποιος εκδίδει ποιο πιστοποιητικό και ποιος έχει τον έλεγχο, είπε ο Bocek.
Παρά τις εν λόγω πιθανές δυσκολίες, η κίνηση προς την προσέλκυση περισσότερων ιστότοπων για την υιοθέτηση του TLS είναι θετική. Ας κρυπτογραφήσουμε σχέδια να κάνουμε τα πιστοποιητικά γενικά διαθέσιμα την εβδομάδα της 16 Νοεμβρίου. Το έργο σχεδιάζει να εκδίδει όλο και περισσότερα πιστοποιητικά, ξεκινώντας από έναν μικρό αριθμό επιτρεπόμενων τομέων. Οι κάτοχοι τομέα μπορούν να εγγραφούν ως δοκιμαστές beta και να προσθέσουν τους τομείς τους στη λίστα επιτρεπόμενων από τον ιστότοπο Let's Encrypt.
Το τρέχον πιστοποιητικό δεν έχει διασταυρούμενη υπογραφή, επομένως η φόρτωση της σελίδας μέσω HTTPS θα δώσει στους επισκέπτες μια μη αξιόπιστη προειδοποίηση. Η προειδοποίηση εξαφανίζεται μόλις προστεθεί η ρίζα ISRG στο κατάστημα εμπιστοσύνης. Η ISRG αναμένει ότι το πιστοποιητικό θα διασταυρωθεί από τη ρίζα του IdenTrusts σε περίπου ένα μήνα, οπότε τα πιστοποιητικά θα λειτουργήσουν σχεδόν οπουδήποτε. Το έργο υπέβαλε επίσης αρχικές εφαρμογές στα προγράμματα root για Mozilla, Google, Microsoft και Apple, έτσι ώστε οι Firefox, Chrome, Edge και Safari να αναγνωρίζουν τα πιστοποιητικά Let's Encrypt.
