I pericoli dei certificati digitali gratuiti

Let's Encrypt, l'autorità di certificazione digitale open source sostenuta dai sostenitori del settore Mozilla, Cisco e Akamai, ha annunciato il rilascio del suo primo certificato due giorni fa. Destinato a facilitare la transizione al protocollo TLS (Transport Layer Security), il successore più sicuro di SSL, Let's Encrypt offre strumenti per automatizzare il modo in cui i certificati vengono emessi, configurati e rinnovati.

Accelerare l'adozione di TLS semplificando la catena di fornitura dei certificati è un obiettivo degno, ma potrebbe avere conseguenze non intenzionali, comprese nuove potenziali vulnerabilità e un aumento dei problemi di gestione dei certificati.

Più certificati in circolazione significa che i criminali informatici rilasceranno più versioni contraffatte, rendendo difficile sapere di quali fidarsi. Questo è già il caso dei criminali che abusano dei certificati gratuiti emessi da CloudFlare. Gli analisti di Gartner stimano che la metà di tutti gli attacchi di rete utilizzerà SSL / TLS entro il 2017.

Non aiuta il fatto che molti dei sistemi di protezione dalle minacce esistenti non siano in grado di ispezionare il traffico crittografato. Le aziende avranno più punti ciechi, cercando di capire dove si nascondono gli aggressori all'interno del flusso di dati crittografati.

"L'utilizzo di certificati per apparire affidabili e nascondersi all'interno del traffico crittografato sta rapidamente diventando l'impostazione predefinita per gli aggressori informatici, il che contrasta quasi l'intero scopo di aggiungere più crittografia e cercare di creare un Internet più affidabile con più certificati gratuiti", ha affermato Kevin Bocek, vicepresidente della strategia di sicurezza e dell'intelligence sulle minacce presso Venafi, un fornitore di reputazione di certificati aziendali.

Anche i certificati gratuiti e autofirmati sono problematici perché chiunque abbia un dominio può ottenerli. ISRG ha affermato in passato che le persone non avranno nemmeno bisogno di creare un account per ottenere un certificato.

Le aziende non dovrebbero sostituire i certificati esistenti a pagamento con quelli gratuiti: i certificati gratuiti non convalidano l'identità e la sede aziendale del titolare del certificato, ha avvertito Craig Spiezle, direttore esecutivo e presidente della Online Trust Alliance. "Dal punto di vista delle frodi e della protezione del marchio, le organizzazioni del settore pubblico e privato dovrebbero implementare certificati SSL OV o EV", ha affermato Spiezle.

La disponibilità di certificati gratuiti aggraverà anche le sfide che le organizzazioni devono affrontare nella gestione dei certificati esistenti. Le grandi organizzazioni, in particolare il Global 5000, devono già gestire migliaia di certificati da una dozzina di diverse autorità di certificazione. Se una nuova applicazione o hardware utilizza certificati gratuiti, l'azienda dispone di una nuova autorità di certificazione sulla propria rete. Anche se i certificati vengono gestiti automaticamente, i team IT devono comunque gestire questo elenco e tenere traccia di chi emette il certificato e chi ne ha il controllo, ha affermato Bocek.

Nonostante tali potenziali difficoltà, il passaggio verso l'adozione di TLS da parte di più siti è positivo. Let's Encrypt prevede di rendere i certificati generalmente disponibili nella settimana del 16 novembre. Il progetto prevede di emettere un numero sempre maggiore di certificati, a partire da un piccolo numero di domini autorizzati. I proprietari di domini possono registrarsi come beta tester e aggiungere i loro domini alla whitelist dal sito Let's Encrypt.

Il certificato corrente non ha una firma incrociata, quindi il caricamento della pagina su HTTPS darà ai visitatori un avviso non attendibile. L'avviso scompare una volta che la radice ISRG viene aggiunta al truststore. ISRG prevede che il certificato verrà firmato in modo incrociato dalla radice di IdenTrusts entro circa un mese, a quel punto i certificati funzioneranno quasi ovunque. Il progetto ha anche presentato le applicazioni iniziali ai programmi root per Mozilla, Google, Microsoft e Apple in modo che Firefox, Chrome, Edge e Safari riconoscessero i certificati Let's Encrypt.