Обложка статьи «Мнение: использовать Let’s Encrypt — плохая идея»

Мнение: использовать Let’s Encrypt — плохая идея

Перевод статьи «Why Let’s Encrypt is a really, really, really bad idea…»

Прим. ред. Это перевод одной из точек зрения о сервисе Let’s Encrypt. Мнение редакции может не совпадать с мнением автора оригинала.

***

Будет сайт отображаться в результатах поиска Google или нет зависит от того, использует ли сайт SSL (англ. Secure Sockets Layer). Или, проще говоря, начинается ли адрес сайта с «https».

Чтобы распространить использование SSL в интернете, участники веб-отрасли создали Let’s Encrypt — сервис, предоставляемый исследовательской группой по интернет-безопасности (ISRG). Сервис взлетел, а крупные хостинг-провайдеры начали создавать инструменты для автоматического получения и установки SSL на сайтах. Звучит как прорыв в кибер-безопасности!

…или нет?

Общая информация об SSL-сертификации

Сердцем шифрования является ключ шифрования. Представьте на минуту, что у вас есть реально большой замок, способный выдержать выстрел из винтовки 50 калибра. Но это не поможет, если у какого-нибудь злодея окажется ключ.

Цифровая аналогия — это криптографическая стойкость сертификата, используемого для шифрования трафика с сайта. По аналогии с замком и винтовкой, если у злодея появляется приватный ключ, с помощью которого был сгенерирован SSL-сертификат, криптографическая стойкость уже не имеет никакого значения.

Существует достаточно центров сертификации (CAs), предоставляющих SSL-сертификаты, и у каждого из них есть своя «Система Управления Ключами» (KMS). Такие центры обращаются к производителям операционных систем, таким как Microsoft, Apple и Google, чтобы поместить свои коренные сертификаты в список доверенных сертификатов их ОС.

С точки зрения безопасности, дробление рынка сертификационных центров — это не баг, а фича.

SSL-сертификат сайта tproger.ru выдан компанией CloudFlare. Если её система управления ключами будет скомпрометирована, то все её сертификаты нужно будет перевыпустить. Однако, если такой атаке подвергнется любой другой центр сертификации, то на сайте tproger.ru это никак не отразится.

Let’s Encrypt — это пример случая, когда «удобство выдачи» и «бесплатность» SSL-сертификатов — это баг, а не фича.

Чем больше сайтов получат защиту от Let’s Encrypt, тем больше становится потенциальная угроза. Ведь в случае атаки на их системы будет страдать всё больше и больше сайтов. Сейчас Let’s Encrypt выбирают по принципу «сделал и забыл». Если сертификат будет отозван и никто не обратит на это внимание, то трафик сайта начнёт стремительно падать. Кстати, именно из-за истёкшего сертификата, на который никто не обращал внимание, в Equifax (американском бюро кредитной истории) в течение нескольких месяцев не знали, что они были взломаны.

«Сделал и забыл» — возможно, не лучшая идея в кибер-безопасности.

Опасность компрометации KMS

Чтобы понять, почему проблема с Let’s Encrypt важна, представьте себя где-то между сайтом компании и его посетителями. Вы можете перехватывать весь трафик, а если у вас есть закрытые ключи из центра сертификации (например Let’s Encrypt), вы сможете расшифровывать трафик сайтов, используя их сертификаты. Но это не самое худшее: из-за того, что вы находитесь как бы между сайтом и конечным получателем трафика, вас не так просто обнаружить стандартными способами. Вы не обязательно должны находиться в сети сервера сайта или же в одной сети с посетителем — вы где-то посередине, с «ключами от всех дверей». Заманчивая картинка для любого злоумышленника.

Как попасть в такое место? Самый простой и вероятный способ мало связан с технологиями. Вам просто нужно внедрить своего человека в компанию, выдающую сертификаты (а именно в то подразделение, которое отвечает за систему управления ключами). И тут нужно задать самый главный вопрос.

Кто пострадает от компрометации KMS?

Первым делом страдает сам центр сертификации и его репутация. Если такая организация позиционируется как публичная, её инвесторы «ухудшат» своё портфолио. А следовательно, вероятнее всего, на такую компанию обрушится лавина исков акционеров, руководство будет уволено, а доверие к центру сертификации — значительно подорвано, что может даже поставить крест на его существовании. Достаточные последствия, чтобы предпринимать максимум усилий, чтобы их избежать.

Кто же пострадает в случае Let’s Encrypt?

У этой компании нет «владельцев», она не для коммерческого использования. У неё нет дохода, т. к. сертификаты выдаются бесплатно. В таком случае никто не проиграет и не понесёт убытки.

Выводы

Чем больше бизнес уходит в интернет, тем больше бизнесменов хотят использовать решения «сделал и забыл», в том числе для защиты данных их пользователей. И вот мы имеем растущую популярность сервиса с одной стороны и отсутствие какой-либо ответственности за безопасность сертификатов с другой. Всё вместе это может привести к катастрофе, когда личные данные пользователей тысяч сайтов будут получены злоумышленниками.

Что делать стартапам и маленьким компаниям?

Жестокая правда в том, что простого решения не существует, поэтому стоит придерживаться нескольких правил, чтобы обеспечить безопасность сайта и его пользователей:

  1. Избегайте манящих вывесок «бесплатно» и «удобно». Основные центры сертификации имеют различные инструменты или техническую поддержку для выпуска SSL-сертификата. Обычно эта же поддержка помогает вам с установкой сертификата. Должна быть проверка на владение доменом (иногда она обоснованно громоздкая). Обратите внимание на страховку от нарушений, которую центр предлагает в дополнение к своим услугам.
  2. Если ваш сайт размещён хостинговой компанией, то обратите внимание, на кого накладывается ответственность с точки зрения кибер-безопасности. Скорее всего, вам понадобятся ряд инструментов для создания «запроса подписи сертификата» (CSR).
  3. Если вы заключаете контракт на разработку и обслуживание сайта, спросите поставщика, заботится ли он о кибер-страховании. Попросите поставщика предоставить доказательства того, что он покроет убытки в случае, если их ошибки и недоработки приведут ко взлому или нарушению работы вашего сайта.