Die Gefahren kostenloser digitaler Zertifikate

Let's Encrypt, die Open-Source-Behörde für digitale Zertifikate, die von Mozilla, Cisco und Akamai unterstützt wird, hat vor zwei Tagen die Veröffentlichung ihres ersten Zertifikats angekündigt. Let's Encrypt soll den Übergang zum TLS-Protokoll (Transport Layer Security), dem sichereren Nachfolger von SSL, erleichtern und bietet Tools zur Automatisierung der Ausstellung, Konfiguration und Erneuerung von Zertifikaten.

Die Beschleunigung der TLS-Einführung durch Straffung der Zertifikatslieferkette ist ein würdiges Ziel, kann jedoch unbeabsichtigte Folgen haben, einschließlich neuer potenzieller Schwachstellen und zunehmender Probleme bei der Zertifikatsverwaltung.

Mehr Zertifikate im Umlauf bedeuten, dass Cyberkriminelle mehr gefälschte Versionen herausgeben, was es schwierig macht zu wissen, welchen sie vertrauen können. Dies ist bereits bei Kriminellen der Fall, die die von CloudFlare ausgestellten kostenlosen Zertifikate missbrauchen. Gartner-Analysten schätzen, dass die Hälfte aller Netzwerkangriffe bis 2017 SSL / TLS verwenden wird.

Es hilft nicht, dass viele der vorhandenen Bedrohungsschutzsysteme nicht in der Lage sind, verschlüsselten Datenverkehr zu überprüfen. Unternehmen werden mehr blinde Flecken haben und versuchen herauszufinden, wo sich die Angreifer im verschlüsselten Datenstrom verstecken.

"Die Verwendung von Zertifikaten, um vertrauenswürdig zu erscheinen und sich im verschlüsselten Datenverkehr zu verstecken, wird für Cyber-Angreifer schnell zum Standard. Dies widerspricht fast dem ganzen Zweck, mehr Verschlüsselung hinzuzufügen und zu versuchen, ein vertrauenswürdigeres Internet mit mehr kostenlosen Zertifikaten zu schaffen", sagte Kevin Bocek. Vice President für Sicherheitsstrategie und Bedrohungsinformationen bei Venafi, einem Anbieter von Reputationszertifikaten für Unternehmen.

Kostenlose und selbstsignierte Zertifikate sind ebenfalls problematisch, da jeder mit einer Domain sie erhalten kann. ISRG hat in der Vergangenheit gesagt, dass die Leute nicht einmal ein Konto erstellen müssen, um ein Zertifikat zu erhalten.

Unternehmen sollten vorhandene, bezahlte Zertifikate nicht durch kostenlose Zertifikate ersetzen - die kostenlosen Zertifikate bestätigen nicht die Identität und den Geschäftsstandort des Zertifikatsinhabers, warnte Craig Spiezle, Executive Director und Präsident der Online Trust Alliance. "Aus Sicht des Betrugs und des Markenschutzes sollten Organisationen sowohl im öffentlichen als auch im privaten Sektor OV- oder EV-SSL-Zertifikate bereitstellen", sagte Spiezle.

Die Verfügbarkeit kostenloser Zertifikate wird auch die Herausforderungen für Unternehmen bei der Verwaltung vorhandener Zertifikate verschärfen. Große Organisationen, insbesondere die Global 5000, müssen bereits Tausende von Zertifikaten von bis zu einem Dutzend verschiedener Zertifizierungsstellen verwalten. Wenn eine neue Anwendung oder Hardware kostenlose Zertifikate verwendet, verfügt das Unternehmen über eine neue Zertifizierungsstelle in seinem Netzwerk. Selbst wenn die Zertifikate automatisch gepflegt werden, müssen IT-Teams diese Liste verwalten und nachverfolgen, wer welches Zertifikat ausstellt und wer die Kontrolle hat, sagte Bocek.

Trotz dieser potenziellen Schwierigkeiten ist der Schritt, mehr Websites für die Einführung von TLS zu gewinnen, positiv. Lassen Sie uns verschlüsseln, um Zertifikate in der Woche vom 16. November allgemein verfügbar zu machen. Das Projekt plant, immer mehr Zertifikate auszustellen, beginnend mit einer kleinen Anzahl von Domänen auf der Whitelist. Domaininhaber können sich als Betatester anmelden und ihre Domains von der Let's Encrypt-Site zur Whitelist hinzufügen lassen.

Das aktuelle Zertifikat ist nicht kreuzsigniert. Wenn Sie die Seite über HTTPS laden, erhalten Besucher eine nicht vertrauenswürdige Warnung. Die Warnung wird ausgeblendet, sobald der ISRG-Stamm zum Trust Store hinzugefügt wird. ISRG erwartet, dass das Zertifikat in etwa einem Monat von IdenTrusts 'Root signiert wird. Ab diesem Zeitpunkt funktionieren die Zertifikate fast überall. Das Projekt reichte auch erste Anwendungen bei den Root-Programmen für Mozilla, Google, Microsoft und Apple ein, damit Firefox, Chrome, Edge und Safari Let's Encrypt-Zertifikate erkennen.