Let’s Encrypt, avoimen lähdekoodin digitaalinen varmenneviranomainen, jota tukevat teollisuuden kärjet Mozilla, Cisco ja Akamai, ilmoitti ensimmäisen varmenteensa julkaisemisesta kaksi päivää sitten. Let's Encrypt on tarkoitettu helpottamaan siirtymistä TLS (Transport Layer Security) -protokollaan, joka on SSL: n turvallisempi seuraaja, ja tarjoaa työkaluja varmenteiden myöntämisen, konfiguroinnin ja uusimisen automatisointiin.
TLS: n käyttöönoton nopeuttaminen varmenteiden toimitusketjun virtaviivaistamisella on kelvollinen tavoite, mutta sillä voi olla tahattomia seurauksia, mukaan lukien uudet mahdolliset haavoittuvuudet ja lisääntynyt varmenteiden hallinnan ongelmat.
Lisää liikkeessä olevia varmenteita tarkoittaa, että verkkorikolliset antavat enemmän väärennettyjä versioita, mikä vaikeuttaa luotettavien tietämistä. Tämä pätee jo rikollisiin, jotka käyttävät väärin CloudFlaren myöntämiä ilmaisia varmenteita. Gartnerin analyytikot arvioivat, että puolet kaikista verkkohyökkäyksistä käyttää SSL / TLS: ää vuoteen 2017 mennessä.
Se ei auta, että monet nykyisistä uhkasuojajärjestelmistä eivät kykene tarkastamaan salattua liikennettä. Yrityksillä on enemmän sokeakohtia, jotka yrittävät selvittää, missä hyökkääjät piiloutuvat salatun tietovirran sisällä.
"Varmenteiden käyttäminen luotettavaksi näyttämiseksi ja piilottamiseksi salatun liikenteen sisällä on nopeasti tulossa oletusarvoksi kyberhyökkääjille - mikä melkein torjuu tavoitetta lisätä salausta ja yrittää luoda luotettavampi Internet, jossa on enemmän ilmaisia varmenteita", sanoi Kevin Bocek, turvallisuusstrategian ja uhkatiedustelun varapuheenjohtaja Venafissa, yrityssertifikaatin maineen tarjoaja.
Ilmaiset ja itse allekirjoittamat varmenteet ovat myös ongelmallisia, koska kuka tahansa, jolla on verkkotunnus, voi saada ne. ISRG on aiemmin sanonut, että ihmisten ei tarvitse edes luoda tiliä saadakseen varmenteen.
Yritysten ei tulisi korvata olemassa olevia maksettuja varmenteita ilmaisilla - ilmaiset varmenteet eivät vahvista varmenteen haltijan henkilöllisyyttä ja liiketoimintapaikkaa, varoitti Craig Spiezle, Online Trust Alliancen toimitusjohtaja. "Petosten ja tuotemerkkien suojaamisen näkökulmasta sekä julkisen että yksityisen sektorin organisaatioiden tulisi ottaa käyttöön OV- tai EV SSL -varmenteita", Spiezle sanoi.
Ilmaisten varmenteiden saatavuus pahentaa myös organisaatioiden haasteita nykyisten varmenteiden hallinnassa. Suurten organisaatioiden, erityisesti Global 5000: n, on jo hallinnoitava tuhansia varmenteita jopa tusinalta eri varmenteiden myöntäjältä. Jos uusi sovellus tai laitteisto käyttää ilmaisia varmenteita, yrityksen verkossa on uusi varmentaja. Vaikka varmenteista huolehditaan automaattisesti, IT-ryhmien on silti hallittava tätä luetteloa ja seurattava kuka antaa minkä varmenteen ja kuka hallitsee, Bocek sanoi.
Tällaisista mahdollisista vaikeuksista huolimatta siirtyminen kohti enemmän sivustoja ottamaan käyttöön TLS on positiivinen. Salatkaamme suunnitelmien tehdä varmenteista yleisesti saataville 16. marraskuuta viikolla. Projektin tarkoituksena on antaa yhä enemmän varmenteita, alkaen pienestä määrästä sallittujen luetteloon lisättyjä verkkotunnuksia. Verkkotunnuksen omistajat voivat rekisteröityä beetatestaajiksi ja saada verkkotunnuksensa sallittujen luetteloon Let's Encrypt -sivustolta.
Nykyistä varmentetta ei ole allekirjoitettu, joten sivun lataaminen HTTPS: n kautta antaa vierailijoille epäluotettavan varoituksen. Varoitus häviää, kun ISRG-juuret lisätään luottamuskaupaan. ISRG odottaa IdenTrustsin juuren allekirjoittavan varmenteen noin kuukaudessa, jolloin sertifikaatit toimivat melkein missä tahansa. Projekti lähetti myös alkuperäiset hakemukset Mozilla-, Google-, Microsoft- ja Apple-juurihakemuksiin, jotta Firefox, Chrome, Edge ja Safari tunnistaisivat Let's Encrypt -sertifikaatit.
