Мнозина от вас знаят, че зелената икона на катинарче в началото на адресната лента на браузъра ви гарантира, че може да се доверите на посещаваната от вас страница, за да впишете своята парола, да предоставите лични данни или да банкирате. Това е така, тъй като процеса по издаване на SSL сертификати се е доказал през годините, като благонадежден. Той е достатъчно сложен, като проверката на издателя на цифровия документ към получателя и удостоверяването на самоличността му гарантира на потребителя, че предоставяйки данните си в този сайт, той ги дава на доверена страна, а връзката към интернет ресурса и информацията му са защитени с помощта на криптографията …на теория. Всъщност, инцидентите, свързани с погрешно издаване на цифрови сертификати, подмяната или кражбата им са пренебрежимо малко, ако се вземат предвид ситуациите, в които процесите протичат нормално. Все пак има случаи, в които престъпници успяват да преодолеят процедурите по удостоверяване, да подменят или откраднат цифрови сертификати, за да поставят фалшиви страници в Интернет, които имитират сайтове на банки, социални мрежи, онлайн магазини или да подпишат с открадната сигнатура файл, който антивирусната ви програма ще подмине да провери, тъй като той притежава цифрова сигнатура на сигурен издател на сертификати (certificate authority, CA).
Говорейки за инцидентите тук, може да споменем скорошно решение на Google, които решиха да вземат строги мерки към Symantec. Компанията е издател на цифрови сертификати, но през годините неведнъж се дъни по различни начини.
Тези дни обаче, разработчик се натъкна далеч по-тревожен инцидент . Оказва се, че доставчикът на открити цифрови сертификати Let’s Encrypt са издали 15 000 сертификата, в които присъства името PayPal. Почти всички те, издадени към измамнически сайтове. 96.7% от 15 270 цифрови удостоверения, съдържащи името на популярната услуга са издадени от краткия период от март миналата година досега са издадени на мошеници.
Стартирал през 2015 и излезли през април 2016 от публична бета Let’s Encrypt е инициатива, която цели криптирането на Мрежата и доставянето на TLS защита, предпазвайки посетителите на интернет страници от злонамерени лица. Сертификатите на CA издателя са безплатни, а процеса по издаване и поддръжка са автоматизирани. Може би сега е добър момент да си припомните това за надлежния процес по удостоверяване на самоличнстта на получателя от страна на издателя. Съвсем логично този процес на автоматизирано издаване събуди страхове в мнозина, че цифровите документи, издавани от Let’s Encrypt могат да бъдат използвани от престъпници, за да подлъжат интернет потребителите, че може да имат доверие на сайта, който посещават и на който предоставят личните си данни. Винсънт Линч, човекът направил откритието за издадените 15 000 сертификата, издадени на фалшиви страници, споделя, че Let’s Encrypt отхвърлят всяка отговорност, ако сертификатите им се използват от престъпници. Това означава на практика това, че измамниците могат да са спокойни – издателят на сертификата няма да изтегли доверието си от получателя на документа.
Междувременно Let’s Encrypt издават с невероятна скорост сертификати на престъпниците. От ноември миналата година, компанията издава по 1250 документа на месец, в които присъства името на PayPal. От 15 270 SSL сертификата, 14 776 са използвани за фишинг страници, които целят да подлъжат посетителя, че страницата, в която вписват своите данни, принадлежи на PayPal. Ако се чудите защо се говори за такова голямо число, то причината за това е, че принципно живота на фишинг страниците е кратък, като компаниите за защита откриват и свалят въпросните страници сравнително бързо.
Случаят получи и любопитен коментар от специалист по информационна сигурност. Според Иля Колоченко от High-Tech Bridge, Let’s Encrypt не трябва да бъдат винени за експлоатирането на услугата им за престъпни цели, а част от вината трябва да бъде прехвърлена другаде. „Смятам, че е нужно да разделим криптирането на HTTP трафика и въпросите, засягащи верификацията на самоличността на получателя. Мисията на Let’s Encrypt е да превърне глобално незащитения HTTP трафик в криптиран HTTPS трафик, и те се справят доста добре в това, което вършат. Без съмнение обаче, те трябва да предвидят възможността измамници да се възползват от услугата им и да наложат поне някакви базисни механизми по удостоверяване, като например отказ за издаване на сертификати за сайтове, в които се съдържа името на популярен бранд“, споделя Колоченко в имейл за SecurityWeek. Според него автоматичното маркиране на сайтове със SSL като сигурни от страна на браузърите е по-голям проблем, тъй като така потребителя вярва сляпо на страницата, която посещава без да има основание за това доверие.
От Linux Foundation, създатели на Let’s Encrypt са отказали коментар по темата.
