Let’s Encrypt, digitálna certifikačná autorita s otvoreným zdrojovým kódom podporovaná stálicami Mozilla, Cisco a Akamai, oznámila vydanie svojho prvého certifikátu pred dvoma dňami. Let's Encrypt, ktorý je určený na uľahčenie prechodu na protokol TLS (Transport Layer Security), bezpečnejší nástupca protokolu SSL, ponúka nástroje na automatizáciu vydávania, konfigurácie a obnovy certifikátov.
Urýchlenie prijatia protokolu TLS racionalizáciou dodávateľského reťazca certifikátov je dôstojným cieľom, ale môže mať neúmyselné následky vrátane nových potenciálnych zraniteľností a nárastu problémov so správou certifikátov.
Viac certifikátov v obehu znamená, že počítačoví zločinci vydajú viac falošných verzií, takže je ťažké vedieť, ktorým dôverovať. To už je prípad zločincov, ktorí zneužívajú bezplatné certifikáty vydané spoločnosťou CloudFlare. Analytici spoločnosti Gartner odhadujú, že polovica všetkých sieťových útokov použije do roku 2017 protokol SSL / TLS.
Nepomáha ani to, že mnohé z existujúcich systémov na ochranu pred hrozbami nie sú schopné kontrolovať šifrovanú komunikáciu. Podniky budú mať viac slepých miest, ktoré sa budú snažiť zistiť, kde sa útočníci skrývajú vo vnútri šifrovaného dátového toku.
„Používanie certifikátov, aby sa javili ako dôveryhodné a skrývali sa v šifrovanej komunikácii, sa pre počítačových útočníkov rýchlo stáva predvoleným - čo takmer čelí celému účelu pridania väčšieho množstva šifrovania a pokusu o vytvorenie dôveryhodnejšieho internetu s väčším počtom bezplatných certifikátov,“ uviedol Kevin Bocek, viceprezident pre bezpečnostnú stratégiu a spravodajstvo o hrozbách vo spoločnosti Venafi, poskytovateľ reputácie podnikových certifikátov.
Problematické sú aj bezplatné certifikáty a certifikáty s vlastným podpisom, pretože ich môže získať ktokoľvek s doménou. ISRG už v minulosti tvrdila, že ľudia si nebudú musieť ani len vytvoriť účet, aby mohli získať certifikát.
Podniky by nemali nahradiť existujúce platené certifikáty bezplatnými certifikátmi - bezplatné certifikáty neoverujú totožnosť a obchodné miesto držiteľa certifikátu, varoval Craig Spiezle, výkonný riaditeľ a prezident Aliancie online dôvery. "Z pohľadu podvodu a ochrany značky by organizácie vo verejnom aj súkromnom sektore mali nasadiť certifikáty OV alebo EV SSL," uviedol Spiezle.
Dostupnosť bezplatných certifikátov tiež prehĺbi výzvy, ktorým organizácie čelia pri správe existujúcich certifikátov. Veľké organizácie, najmä organizácia Global 5000, už musia spravovať tisíce certifikátov až od tucta rôznych certifikačných autorít. Ak nová aplikácia alebo hardvér používa bezplatné certifikáty, potom má podnik vo svojej sieti novú certifikačnú autoritu. Aj keď sa o certifikáty stará automaticky, tímy IT musia tento zoznam spravovať a sledovať, kto ktorý certifikát vydáva a kto ich má pod kontrolou, uviedol Bocek.
Napriek takýmto potenciálnym ťažkostiam je posun k tomu, aby viac serverov prijalo TLS, pozitívny. Let’s Encrypt plánuje sprístupniť certifikáty všeobecne 16. týždňa. Projekt plánuje vydávať ďalšie a ďalšie certifikáty, počnúc malým počtom domén na bielom zozname. Majitelia domén sa môžu zaregistrovať ako beta testeri a nechať si ich domény pridať na bielu listinu zo stránky Let's Encrypt.
Aktuálny certifikát nie je podpísaný krížom, takže načítanie stránky cez HTTPS poskytne návštevníkom nedôveryhodné varovanie. Varovanie zmizne po pridaní koreňa ISRG do úložiska dôvery. ISRG očakáva, že certifikát bude krížovo podpísaný koreňom IdenTrusts asi za mesiac, kedy budú certifikáty fungovať takmer kdekoľvek. Projekt tiež predložil počiatočné aplikácie do koreňových programov pre Mozilla, Google, Microsoft a Apple, aby Firefox, Chrome, Edge a Safari rozpoznali certifikáty Let's Encrypt.
