Издаването на цифрови сертификати на измамници не само не се забавя, а се среща все по-често. Това е наблюдението на Netcraft, които определят Let’s Encrypt и Comodo, като организациите, които най-често издават сертификати на сайтове, които целят да подлъжат потребителя.

Let’s Encrypt
е издател на сертификати (certificate authority, CA), създаден от Internet Security Research Group и подкрепен от Фондация „Електронна граница“ и компании, като Cisco, Akamai, Mozilla и OVH. Организацията издава безплатни SSL/TLS в мисията им да направят Интернет по-сигурно пространство, припомнят от itnews.com.au. Let’s Encrypt попаднаха в обектива на медиите в края на миналия месец, след като друг издател на цифрови документи съобщи за скок в издаваните от организация сертификати на измамници. Мнозина от интернет общността посочиха, че организацията не носи вина за действията си, тъй като това, което удостоверяват TLS/SSL сертификатите са защита на връзката от потребителя към сървъра, на който се помещава сайта. Удостоверяването на собственика на сайта и легитимността на ресурса не са интерес на Let’s Encrypt. Някои бяха склонни да обвинят компаниите зад браузърите, които внушават чувство за сигурност на потребителя, че може да се довери на страницата, когато всъщност сигурна е връзката към ресурса, не самия сайт.

Comodo, от своя страна, представлява комерсиален и установил се сертификационен издател. Netcraft отбелязва, че между първи януари и първи март тази година са блокирали 47 500 сайта с валидни сертификати. От тях, 61 процента са издадени от Let’s Encrypt и 36% от Comodo.

„На потребителите им е казвано да гледат за наличието на изображение на катинар, защитни индикатори и https:// в адресната лента на браузъра преди да предават конфиденциални данни, като пароли и финансова информация, към уебсайтовете“, обяснява Netcraft. Компанията споделя, че Let’s Encrypt все пак вземат някакви мерки, за да не издадат сертификат на измамници – проверяват името на сайта в базата данни на Google Safe Browsing. Само че, обясняват от компанията, сертификатите се издават автоматично и инсталирането им се осъществява преди те да се появят в Интернет – т.е., няма как да фигурират в черните списъци на Google.

Netcraft съветва издателите на TLS/SSL сертификати да проверяват предварително имената на домейните, за които издават удостоверения за белези за възможна фишинг активност, като например, присъствието на известен бранд в името на сайта.

ДОБАВИ КОМЕНТАР

  Абонирай се  
Извести ме за