Let’s Encrypt, odprtokodni organ za digitalna potrdila, ki ga podpirajo panožni mozilla Mozilla, Cisco in Akamai, je pred dvema dnevoma napovedal izdajo svojega prvega certifikata. Namen olajšati prehod na protokol TLS (Transport Layer Security), ki je bolj varen naslednik SSL, Let's Encrypt ponuja orodja za avtomatizacijo izdaje, konfiguriranja in obnavljanja potrdil.
Pospeševanje sprejemanja TLS z racionalizacijo dobavne verige potrdil je vreden cilj, vendar ima lahko nenamerne posledice, vključno z novimi potencialnimi ranljivostmi in povečanim številom težav pri upravljanju potrdil.
Več potrdil v obtoku pomeni, da bodo kiber kriminalci izdali več ponarejenih različic, zaradi česar bo težko vedeti, komu zaupati. To že velja za kriminalce, ki zlorabljajo brezplačna potrdila, ki jih je izdal CloudFlare. Gartnerjevi analitiki ocenjujejo, da bo polovica vseh omrežnih napadov do leta 2017 uporabljala SSL / TLS.
Ne pomaga, da številni obstoječi sistemi za zaščito pred grožnjami niso sposobni pregledati šifriranega prometa. Podjetja bodo imela več slepih peg in skušala ugotoviti, kje se napadalci skrivajo znotraj šifriranega podatkovnega toka.
"Uporaba potrdil za zaupanje in skrivanje znotraj šifriranega prometa hitro postaja privzeta nastavitev za kibernetske napadalce - kar skoraj nasprotuje celotnemu namenu dodajanja več šifriranja in poskušanja ustvariti bolj zanesljiv internet z več brezplačnimi potrdili," je dejal Kevin Bocek, podpredsednik varnostne strategije in obveščevalnih o grožnjah pri podjetju Venafi, ponudniku uglednih certifikatov za podjetja.
Brezplačna in samopodpisana potrdila so prav tako problematična, ker jih lahko dobi vsak z domeno. ISRG je v preteklosti že dejal, da ljudem sploh ni treba ustvariti računa, da bi dobili potrdilo.
Podjetja ne bi smela nadomeščati obstoječih plačljivih potrdil z brezplačnimi - brezplačna potrdila ne potrjujejo identitete in poslovne lokacije imetnika certifikata, je opozoril Craig Spiezle, izvršni direktor in predsednik združenja Online Trust Alliance. "Z vidika goljufij in zaščite blagovnih znamk bi morale organizacije v javnem in zasebnem sektorju uvajati OV ali EV SSL certifikate," je dejal Spiezle.
Razpoložljivost brezplačnih potrdil bo še poslabšala izzive, s katerimi se organizacije soočajo pri upravljanju obstoječih potrdil. Velike organizacije, zlasti Global 5000, morajo že upravljati na tisoče potrdil iz ducata različnih certifikacijskih organov. Če nova aplikacija ali strojna oprema uporablja brezplačna potrdila, ima podjetje v svojem omrežju novega overitelja potrdil. Tudi če je za certifikate poskrbljeno samodejno, morajo ekipe IT še vedno voditi ta seznam in slediti, kdo izda certifikat in kdo nadzoruje, je dejal Bocek.
Kljub takšnim potencialnim težavam je premik k pridobivanju več spletnih mest, ki bi uvedle TLS, pozitiven. Let’s Encrypt načrtuje, da bodo spričevala splošno dostopna v tednu, 16. novembra. Projekt načrtuje izdajo vedno več potrdil, začenši z majhnim številom domen s seznama dovoljenih. Lastniki domen se lahko prijavijo kot preskuševalci beta in dodajo svoje domene na seznam dovoljenih s spletnega mesta Let's Encrypt.
Trenutno potrdilo ni navzkrižno podpisano, zato bo nalaganje strani prek protokola HTTPS obiskovalcem poslalo nezaupljivo opozorilo. Opozorilo izgine, ko je koren ISRG dodan v skrbniško shrambo. ISRG pričakuje, da bo potrditev navzkrižno podpisal koren podjetja IdenTrusts v približno enem mesecu, ko bodo potrdila delovala skoraj kjer koli. Projekt je v korenske programe za Mozilla, Google, Microsoft in Apple poslal tudi začetne aplikacije, da bi Firefox, Chrome, Edge in Safari prepoznali potrdila Let's Encrypt.
