„Encrypt“, atvirojo kodo skaitmeninių sertifikatų institucija, palaikoma pramonės „Mozilla“, „Cisco“ ir „Akamai“, prieš dvi dienas paskelbė išleidusi savo pirmąjį sertifikatą. „Let's Encrypt“, skirtas palengvinti perėjimą prie TLS („Transport Layer Security“) protokolo, saugesnio SSL perėmėjo, siūlo įrankius, leidžiančius automatizuoti sertifikatų išleidimą, konfigūravimą ir atnaujinimą.
Spartinti TLS priėmimą supaprastinant sertifikatų tiekimo grandinę yra vertas tikslas, tačiau tai gali turėti nenumatytų pasekmių, įskaitant naujas galimas silpnąsias vietas ir padidėjusį sertifikatų tvarkymo vargą.
Daugiau apyvartoje esančių pažymėjimų reiškia, kad kibernetiniai nusikaltėliai išduos daugiau padirbtų versijų, todėl bus sunku žinoti, kuriomis patikėti. Taip jau yra nusikaltėlių, piktnaudžiaujančių nemokamais „CloudFlare“ išduotais sertifikatais. „Gartner“ analitikų skaičiavimais, pusė visų tinklo atakų naudos SSL / TLS iki 2017 m.
Nepadeda tai, kad daugelis esamų apsaugos nuo grėsmių sistemų negali patikrinti užšifruoto srauto. Įmonės turės daugiau aklųjų zonų, bandydamos išsiaiškinti, kur užpuolikai slepiasi užšifruoto duomenų sraute.
„Naudojimasis sertifikatais, norint pasirodyti patikimais ir paslėpti užšifruotame sraute, greitai tampa kibernetinių užpuolikų numatytuoju nustatymu - o tai beveik neatitinka viso tikslo pridėti daugiau šifravimo ir bandyti sukurti patikimesnį internetą su daugiau nemokamų sertifikatų“, - sakė Kevinas Bocekas. įmonės sertifikatų reputacijos teikėjos „Venafi“ saugumo strategijos ir grėsmių žvalgybos viceprezidentas.
Nemokami ir pačių pasirašyti sertifikatai taip pat kelia problemų, nes juos gali gauti visi, turintys domeną. ISRG anksčiau yra sakęs, kad žmonėms net nereikės susikurti paskyros norint gauti sertifikatą.
Įmonės neturėtų pakeisti esamų, mokamų sertifikatų nemokamais - nemokami sertifikatai nepatvirtina pažymėjimo turėtojo tapatybės ir verslo vietos, perspėjo Craigas Spiezle'as, vykdomasis direktorius ir „Online Trust Alliance“ prezidentas. „Žvelgiant iš apgaulės ir prekės ženklo apsaugos perspektyvos, viešojo ir privataus sektoriaus organizacijos turėtų diegti OV arba EV SSL sertifikatus“, - sakė Spiezle.
Galimybė gauti nemokamus sertifikatus taip pat padidins iššūkius, su kuriais organizacijos susiduria tvarkydamos esamus sertifikatus. Didelės organizacijos, ypač „Global 5000“, jau turi valdyti tūkstančius sertifikatų iš dešimčių skirtingų sertifikatų institucijų. Jei naujoje programoje ar aparatinėje įrangoje naudojami nemokami sertifikatai, įmonės tinkle yra nauja sertifikatų institucija. Net jei sertifikatais pasirūpinama automatiškai, IT komandos vis tiek turi tvarkyti šį sąrašą ir sekti, kas išduoda sertifikatą ir kas kontroliuoja, sakė Bocekas.
Nepaisant tokių galimų sunkumų, norint pasiekti daugiau svetainių, kuriose būtų įdiegta TLS, teigiama. Šifruokime planus, kad sertifikatai būtų visuotinai prieinami lapkričio 16 d. Savaitę. Projektas planuoja išleisti vis daugiau ir daugiau sertifikatų, pradedant nedaugeliu baltųjų sąrašų domenų. Domenų savininkai gali užsiregistruoti kaip beta versijos testuotojai ir gauti savo domenus prie baltojo sąrašo iš svetainės „Šifruokime“.
Dabartinis sertifikatas nėra kryžminis, todėl įkėlus puslapį per HTTPS lankytojams bus pateiktas nepatikimas įspėjimas. Įspėjimas išnyks, kai ISRG šaknis bus įtraukta į patikimumo saugyklą. ISRG tikisi, kad sertifikatą „IdenTrusts“ šaknis pasirašys maždaug per mėnesį, tada sertifikatai veiks beveik bet kur. Projektas taip pat pateikė pirmines programas „Mozilla“, „Google“, „Microsoft“ ir „Apple“ šakninėms programoms, kad „Firefox“, „Chrome“, „Edge“ ir „Safari“ atpažintų „Let's Encrypt“ sertifikatus.
