Bahaya sijil digital percuma

Let's Encrypt, pihak berkuasa sijil digital sumber terbuka yang disokong oleh pendukung industri Mozilla, Cisco, dan Akamai, mengumumkan pelepasan sijil pertamanya dua hari lalu. Ditujukan untuk memudahkan peralihan ke protokol TLS (Transport Layer Security), pengganti SSL yang lebih selamat, Let's Encrypt menawarkan alat untuk mengautomasikan bagaimana sijil dikeluarkan, dikonfigurasi, dan diperbaharui.

Mempercepat penggunaan TLS dengan merampingkan rantaian bekalan sijil adalah tujuan yang layak, tetapi ia mungkin mempunyai akibat yang tidak diinginkan, termasuk kerentanan berpotensi baru dan peningkatan kerumitan pengurusan sijil.

Lebih banyak sijil yang beredar bermaksud penjenayah siber akan mengeluarkan lebih banyak versi palsu, sehingga sukar untuk mengetahui mana yang dipercayai. Ini sudah berlaku dengan penjenayah menyalahgunakan sijil percuma yang dikeluarkan oleh CloudFlare. Penganalisis Gartner menganggarkan separuh daripada semua serangan rangkaian akan menggunakan SSL / TLS pada tahun 2017.

Ini tidak membantu bahawa banyak sistem perlindungan ancaman yang ada tidak dapat memeriksa lalu lintas yang disulitkan. Perusahaan akan mempunyai lebih banyak titik buta, berusaha mencari tahu di mana penyerang bersembunyi di dalam aliran data yang dienkripsi.

"Menggunakan sijil untuk kelihatan dipercayai dan bersembunyi di dalam lalu lintas yang dienkripsi dengan cepat menjadi lalai bagi penyerang siber - yang hampir mengatasi keseluruhan tujuan menambahkan lebih banyak penyulitan dan berusaha membuat Internet yang lebih dipercayai dengan lebih banyak sijil percuma," kata Kevin Bocek, naib presiden strategi keselamatan dan perisikan ancaman di Venafi, penyedia reputasi sijil perusahaan.

Sijil percuma dan ditandatangani sendiri juga bermasalah kerana sesiapa sahaja yang mempunyai domain boleh mendapatkannya. ISRG telah mengatakan pada masa lalu bahawa orang tidak perlu membuat akaun untuk mendapatkan sijil.

Syarikat tidak boleh menggantikan sijil berbayar yang sedia ada dengan yang percuma - sijil percuma tidak mengesahkan identiti dan lokasi perniagaan pemegang sijil, memberi amaran kepada Craig Spiezle, pengarah eksekutif dan presiden Online Trust Alliance. "Dari perspektif penipuan dan perlindungan jenama, organisasi di sektor awam dan swasta harus menggunakan sijil OV atau EV SSL," kata Spiezle.

Ketersediaan sijil percuma juga akan memburukkan lagi cabaran yang dihadapi oleh organisasi dalam menguruskan sijil yang ada. Organisasi besar, terutama Global 5000, sudah harus menguruskan ribuan sijil dari selusin pihak berkuasa perakuan yang berbeza. Sekiranya aplikasi atau perkakasan baru menggunakan sijil percuma, maka syarikat itu mempunyai otoriti sijil baru di rangkaiannya. Walaupun sijil dijaga secara automatik, pasukan IT masih perlu menguruskan senarai ini dan mengesan siapa yang mengeluarkan sijil mana dan siapa yang berkuasa, kata Bocek.

Walaupun terdapat banyak kesulitan, langkah untuk mendapatkan lebih banyak laman web untuk menggunakan TLS adalah sesuatu yang positif. Let's Encrypt merancang untuk menyediakan sijil pada umumnya pada minggu 16 November. Projek ini merancang untuk mengeluarkan lebih banyak sijil, bermula dengan sebilangan kecil domain dalam senarai putih. Pemilik domain boleh mendaftar sebagai penguji beta dan menambahkan domain mereka ke senarai putih dari laman Let's Encrypt.

Sijil semasa tidak ditandatangani silang, jadi memuatkan halaman melalui HTTPS akan memberi amaran kepada pengguna yang tidak dipercayai. Amaran akan hilang sebaik sahaja root ISRG ditambahkan ke trust store. ISRG mengharapkan sijil itu ditandatangani silang oleh akar IdenTrusts dalam masa kira-kira sebulan, dan pada ketika itu sijil akan berfungsi hampir di mana sahaja. Projek ini juga mengirimkan aplikasi awal ke program root untuk Mozilla, Google, Microsoft, dan Apple sehingga Firefox, Chrome, Edge, dan Safari dapat mengenali sijil Let's Encrypt.