Anot „Electronic Frontier Foundation“ saugumo eksperto, interneto sertifikavimo institucijos (CA) nededa pakankamai pastangų, kad patvirtintų svetaines, už kurias jos garantuoja.
Sertifikavimo įmonės, pvz., „VeriSign“ ir „Comodo“, teikia SSL patvirtinimą, kuris praneša jūsų naršyklei, kad jūsų lankomos svetainės – nuo bankų iki mažmenininkų – yra autentiškos.
Jei CA nepatvirtina svetainių, už kurias jos garantuoja, tapatybės, visa sistema sugenda
Praėjusį mėnesį ataka prieš Comodo leido įsilaužėliui išduoti netikrus Gmail, Hotmail ir Skype sertifikatus, ir, pasak EFF, sertifikavimo teikėjai greitai ir laisvai žaidžia naudodami vieną iš svarbiausių žiniatinklyje naudojamų saugos įrankių.
„Jei CA nepatvirtina svetainių, už kurias jos garantuoja, tapatybės, visa sistema sugenda“, – sakė techninis analitikas Chrisas Palmeris. EFF tinklaraščio įrašas.
„Naudodami EFF SSL observatorijos duomenis, galėjome kiekybiškai įvertinti, kokiu mastu CA įsitraukia į nesaugų praktika pasirašyti sertifikatus dėl nekvalifikuotų pavardžių“, – sakė Palmeris, radęs daugiau nei 37 tūkst. vardai.
„Jei tai daro daug, rodo, kad jie net minimaliai nepatvirtina pasirašytų sertifikatų.
Palmeris teigė, kad dėmesio stoka detalėms „labai kenkia CA pretenzijoms būti patikimomis interneto pavadinimų institucijomis ir padidina interneto naudotojų tinklo atakų riziką“.
Palmerio teigimu, CA turėtų pasirašyti tik visiškai kvalifikuotus viešuosius pavadinimus, tokius kaip www.pcpro.co.uk arba www.eff.org. Neunikaliams pavadinimams, pvz., „localhost“, „mail“ arba „webmail“, sertifikatai neturėtų būti suteikiami, nes jie kelia pavojų saugumui.
„CA sukuria realią riziką, kai pasirašo kitus nekvalifikuotus vardus“, - sakė Palmeris. „O kas, jei užpuolikas galėtų gauti CA pasirašytą sertifikatą tokiems vardams kaip „paštas“ arba „žiniatinklio paštas“? Jie galėtų puikiai suklastoti jūsų organizacijos žiniatinklio pašto serverio tapatybę „žmogaus viduryje“ atakos metu.
