Let’s Encrypt, проект, стартиран от Mozilla, Мичиганският университет, Фондация „Електронна граница“ (Electronic Frontier Foundation, EFF), Cisco и Akamai продължава да се радва на огромна популярност. Организацията, чиято мисия е да помогне Мрежата да стане едно по-сигурно и защитено място с доставянето на лесна за налагане и безплатна криптозащита, наскоро обяви нови функционалности с нова версия на платформата си. Тя въвежда възможността за криптиране и на поддомейните на защитаваните от организацията ресурси с представянето на т.нар. wildcard сертификати. Това ще позволи на администриращите уеб ресурси да наложат пълна защита на управляваните от тях домейни и поддомейни с един-единствен сертификат и двойка ключове. Това ще стане с представянето на ACME v2 API.

Стартиралата преди две години Let’s Encrypt, днес е най-големия издател на цифрови сертификати с публикуваните над 100 милиона дигитални удостоверения към близо 47 000 000 домейна. Организацията се радва на това, че от началото на дейността си е помогнала процентът на защитени уебсайтове в WWW да нарасне от 40% на 58%.

Инициативата обаче нерядко попада под ударите на критика от различни страни. Тази пролет например, Let’s Encrypt бяха обвинени за издаването на 15 000 сертификата, съдържащи в себе си PayPal, като част от името на домейна. Те са използвани за изготвяни фишинг страници, целящи да подлъжат невнимателни потребители да впишат чувствителни финансови данни в тях, виждайки емблематичното зелено катинарче в адресната лента и HTTPS в началото на адреса. Заедно с това, други отбелязаха, че масово мошеници се възползват от услугата, за да изготвят подобни измамнически клонинги и на други известни сайтове. Споровете около дейността на организацията не спряха, като се оформи и опозиция на критикуващите Let’s Encrypt, които представят логични, макар и може би не съвсем достатъчни доводи в защита на организацията. Според тях, не Let’s Encrypt трябва да бъде критикувана, а доставчиците на браузъри и всички онези специалисти, които постоянно повтарят: „ако е HTTPS, не се притеснявайте“. Заедно с това те припомнят за вида на предоставяните сертификати, които се различават в процедурите по удостоверяване на личността на получателя на сертификатите.

Сигурно сте чували тази мантра за „HTTPS ли е, давайте си данните спокойно, ресурсът е сигурен“. Вероятно може да се нарече грешка в превода или езиков пропуск, но HTТPS удостоверява ПОВЕРИТЕЛНОСТТА на връзката между системата и сървъра, в който се вписват данните и това, че комуникацията и пресечена, няма да може да бъде разкодирана от престъпници. Сигурната връзка, обясняват защитниците на Let’s Encrypt в спора, не гарантира, че сте защитен от злонамерените намерения на собственика на ресурса. Точка. И тук вина носят също издателите на браузъри, които не уточняват тази малка, но важна подробност.

И този път, намеренията на Let’s Encrypt бяха подложени на критика. Според някои, като Кевин Бочек от Venafi, макар и чудесна новина за разрастването на поверителността в Мрежата и конфиденциалността на комуникацията, предлагането на wildcard сертификати ще е и подарък за киберпрестъпниците.

„Престъпниците ще получат възможността да създадат хиляди фалшиви сайтове с помощта на Let’s Encrypt. Видяхме нееднократно как те се възползват от техните сертификати в миналото. Духът от бутилката, така или иначе вече е пуснат от бутилката, но това означава, че всяка една организация и бизнес могат да бъдат компрометиране, за да бъдат подлъгани техните потребители и клиенти. Това означава също така и че занапред всяка организация ще трябва да следи за фалшиви сертификати“, заявява Бочек в интервю за SecurityWeek. Той напомня, че засегнатите от подобна опасност биха могли да си помогнат с използването на услугите на инициативата на Google Certificate Transparency, с чиято помощ могат да бъдат засечени фалшиви сертификати, независимо от издаващата ги организация.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest
6 Коментара
стари
нови
Отзиви
Всички коментари