По меньшей мере четыре центра сертификации сообщили о том, что были взломаны
в последние месяцы, согласно исследованию, проведенному организацией Electronic
Frontier Foundation и затрагивающему серьезные вопросы о технологии, на которую
миллионы веб-сайтов полагаются для обеспечения безопасности.
Руководитель технологических проектов в EFF Питер Экерсли собрал информацию
путем исследования общедоступной документации, которую центры должны заполнять
каждый раз, когда они отзывают SSL-сертификат. Начиная с июня четыре отдельных
центра сертификации включили еще одну причину для отмены одного или нескольких
сертификатов - "взлом центра сертификации", как показывает исследование.
На данный момент DigiNotar, запятнавший свою репутацию центр сертификации,
который обанкротился в
связи с масштабным вторжением в его сеть и пытался скрыть происходящее, а также
связанная с ним голландская правительственная группа, являются единственными
центрами, по имеющимся данным, отозвавшими сертификаты в последние 4 месяца по
причине взлома. С июня конкуренты StartSSL и GlobalSign сообщили о брешах в
безопасности, но заявили, что проблемы были устранены прежде, чем злоумышленники
смогли подделать сертификаты.
Осознание того, что по меньшей мере два других центра сертификации имеют
бреши в безопасности, требующие отзыва сертификатов, возобновило критику,
преследующую SSL годами: при наличии более 600 центров сертификации, которым
доверяют основные браузеры, существует слишком много возможностей поражения. Как
было продемонстрировано подрывом DigiNotar, взлом всего лишь одного центра
позволяет мошенникам заполучить цифровые сертификаты, которые Google Mail, Skype
или другие сервисы используют для шифрования гигабайтов "чувствительного"
трафика и для доказательства аутентичности своих серверов.
"Как в последнее время видно, протоколы безопасности могут быть весьма
действенны в борьбе с атакующими, чьи время и мотивация ограничены, но их
недостаточно в мире, где геополитические и деловые состязания все чаще
разыгрываются путем атак на безопасность компьютерных систем", - написал Экерсли
в сообщении, озаглавленном "Насколько сегодня защищен HTTPS? Как часто он
атакуюется?" в своем блоге.
С тех пор, как EFF запустил свой проект SSL Observatory, Экерсли вместе со
своим коллегой Джесси Бернсом насчитали 14 центров сертификации, которые назвали
атаки причиной отзыва 248 сертификатов. Четыре центра, которые называли эту
причину с июня, отозвали 55 сертификатов.
В e-mail Экерсли отказался назвать два неизвестных центра сертификации из
страха, что может таким образом негативно повлиять на дальнейшее желание этих
центров предоставлять правдивую информацию в отчетах.
"Я считаю, что эти центры сертификации правильно поступили, назвав причину
для отзыва сертификатов", - объяснил он. «"ет ничего хорошего в том, что мы
вынуждены доверять неограниченному количеству сертификатов для системы
шифрования. Еще хуже, когда инциденты, связанные с такими сертификатами,
хранятся в секрете".
