Bahaya sertifikat digital gratis

Let's Encrypt, otoritas sertifikat digital open source yang didukung oleh pendukung industri Mozilla, Cisco, dan Akamai, mengumumkan peluncuran sertifikat pertamanya dua hari lalu. Dimaksudkan untuk memudahkan transisi ke protokol TLS (Transport Layer Security), penerus SSL yang lebih aman, Let's Encrypt menawarkan alat untuk mengotomatiskan bagaimana sertifikat diterbitkan, dikonfigurasi, dan diperbarui.

Mempercepat adopsi TLS dengan merampingkan rantai pasokan sertifikat adalah tujuan yang layak, tetapi mungkin memiliki konsekuensi yang tidak diinginkan, termasuk potensi kerentanan baru dan peningkatan kerumitan pengelolaan sertifikat.

Semakin banyak sertifikat yang beredar berarti penjahat dunia maya akan mengeluarkan lebih banyak versi palsu, sehingga sulit untuk mengetahui mana yang harus dipercaya. Ini sudah terjadi dengan penjahat yang menyalahgunakan sertifikat gratis yang dikeluarkan oleh CloudFlare. Analis Gartner memperkirakan setengah dari semua serangan jaringan akan menggunakan SSL / TLS pada 2017.

Itu tidak membantu bahwa banyak dari sistem perlindungan ancaman yang ada tidak mampu memeriksa lalu lintas terenkripsi. Perusahaan akan memiliki lebih banyak titik buta, mencoba mencari tahu di mana penyerang bersembunyi di dalam aliran data terenkripsi.

“Menggunakan sertifikat agar terlihat tepercaya dan bersembunyi di dalam lalu lintas terenkripsi dengan cepat menjadi default bagi penyerang dunia maya - yang hampir meniadakan seluruh tujuan penambahan lebih banyak enkripsi dan mencoba menciptakan Internet yang lebih dapat dipercaya dengan lebih banyak sertifikat gratis,” kata Kevin Bocek, wakil presiden strategi keamanan dan intelijen ancaman di Venafi, penyedia reputasi sertifikat perusahaan.

Sertifikat gratis dan yang ditandatangani sendiri juga bermasalah karena siapa pun yang memiliki domain bisa mendapatkannya. ISRG pernah mengatakan di masa lalu bahwa orang tidak perlu membuat akun untuk mendapatkan sertifikat.

Perusahaan tidak boleh mengganti sertifikat berbayar yang ada dengan yang gratis - sertifikat gratis tidak memvalidasi identitas dan lokasi bisnis pemegang sertifikat, kata Craig Spiezle, direktur eksekutif dan presiden Online Trust Alliance. “Dari perspektif penipuan dan perlindungan merek, organisasi di sektor publik dan swasta harus menerapkan sertifikat OV atau EV SSL,” kata Spiezle.

Ketersediaan sertifikat gratis juga akan memperburuk tantangan yang dihadapi organisasi dalam mengelola sertifikat yang ada. Organisasi besar, terutama Global 5000, sudah harus mengelola ribuan sertifikat dari selusin otoritas sertifikat yang berbeda. Jika aplikasi atau perangkat keras baru menggunakan sertifikat gratis, maka perusahaan tersebut memiliki otoritas sertifikat baru di jaringannya. Bahkan jika sertifikat diurus secara otomatis, tim IT masih perlu mengelola daftar ini dan melacak siapa yang menerbitkan sertifikat dan siapa yang memegang kendali, kata Bocek.

Terlepas dari potensi kesulitan seperti itu, langkah untuk mendapatkan lebih banyak situs untuk mengadopsi TLS adalah hal yang positif. Let's Encrypt berencana untuk membuat sertifikat tersedia secara umum pada minggu 16 November. Proyek ini berencana untuk menerbitkan lebih banyak sertifikat, dimulai dengan sejumlah kecil domain yang masuk daftar putih. Pemilik domain dapat mendaftar sebagai penguji beta dan mendapatkan domain mereka ditambahkan ke daftar putih dari situs Let's Encrypt.

Sertifikat saat ini tidak ditandatangani silang, jadi memuat halaman melalui HTTPS akan memberi pengunjung peringatan tidak tepercaya. Peringatan hilang setelah root ISRG ditambahkan ke penyimpanan kepercayaan. ISRG mengharapkan sertifikat akan ditandatangani silang oleh root IdenTrusts dalam waktu sekitar satu bulan, pada saat itu sertifikat akan berfungsi hampir di mana saja. Proyek ini juga mengirimkan aplikasi awal ke program root untuk Mozilla, Google, Microsoft, dan Apple sehingga Firefox, Chrome, Edge, dan Safari akan mengenali sertifikat Let's Encrypt.