Po─Ćme za┼íifrova┼ą v poslednom ─Źase vydali miliardy certifik├ítov SSL 4 leta

Po─Ćme ┼íifrova┼ą, bezplatn├║, automatizovan├║ a otvoren├║ autoritu na podpisovanie certifik├ítov (CA) z neziskovej skupiny pre v├Żskum zabezpe─Źenia internetu (ISRG), uviedla, ┼że od jej zavedenia v roku 2015 vydala miliardu certifik├ítov.

CA vydal svoj prv├Ż certifik├ít v septembri 2015 a nakoniec dosiahol 100 mili├│nov v j├║ni 2017. Od konca minul├ęho roka vydajme Encrypt minim├ílne 1,2 mili├│nov certifik├ítov ka┼żd├Ż de┼ł.

V├Żvoj prich├ídza po tom, ako viac ako 80 percent za┼ąa┼żenia webov├Żch str├ínok za─Źalo pou┼ż├şva┼ą HTTPS na celom svete a 91 percent iba v USA.

HTTPS, predvolen├Ż prostriedok zabezpe─Źenej komunik├ície na internete, m├í tri v├Żhody: autentifik├íciu, integritu a ┼íifrovanie. Umo┼ż┼łuje prenos HTTP po┼żiadaviek cez bezpe─Źn├Ż ┼íifrovan├Ż kan├íl, ─Ź├şm chr├íni pou┼ż├şvate─żov pred mno┼żstvom ┼íkodliv├Żch aktiv├şt vr├ítane fal┼íovania str├ínok a manipul├ície s obsahom.

ÔÇ×Od roku 2017 prehliada─Źe za─Źali vy┼żadova┼ą HTTPS pre ─Ćal┼íie funkcie a v├Żrazne zlep┼íili sp├┤soby, ak├Żmi komunikuj├║ so svojimi pou┼ż├şvate─żmi o rizik├ích nepou┼ż├şvania HTTPS,ÔÇť uviedla spolo─Źnos┼ą. ÔÇ×Ke─Ć webov├ę str├ínky ohrozuj├║ pou┼ż├şvate─żov t├Żm, ┼że nepou┼ż├şvaj├║ HTTPS, hlavn├ę prehliada─Źe teraz zobrazuj├║ silnej┼íie varovania. Mnoho webov├Żch str├ínok reagovalo nasaden├şm HTTPS.ÔÇť

Protokol Let's Encrypt's ACME (Automatick├ę prostredie pre spr├ívu certifik├ítov), ÔÇőÔÇőktor├Ż bol zaveden├Ż s cie─żom ur├Żchli┼ą ┼íifrovanie webu a zn├ş┼żi┼ą n├íklady na povolenie protokolu HTTPS, pon├║ka jednoduch├Ż sp├┤sob nastavenia a vyd├ívania certifik├ítov SSL, ktor├ę mo┼żno obnovi┼ą a nahradi┼ą bez manu├ílneho z├ísahu. od spr├ívcov webu.

Certbot Electronic Frontier Foundation je jedn├Żm z tak├Żchto popul├írnych ACME klientov s otvoren├Żm zdrojov├Żm k├│dom, ktor├Ż umo┼ż┼łuje HTTPS na webov├Żch str├ínkach automatick├Żm nasaden├şm certifik├ítov Let's Encrypt – ktor├ę s├║ platn├ę iba 90 dn├ş – a spravovan├şm obnovenia.

Av┼íak so zl├Żm zneu┼ż├şvan├şm zneu┼ż├şvajme ┼áifrujme certifik├íty HTTPS na maskovanie ┼íkodliv├ęho prenosu a nasmerovanie netu┼íiacich pou┼ż├şvate─żov na ┼íkodliv├ę weby, spolo─Źnos┼ą podnikla kroky na ÔÇ×zabezpe─Źenie toho, aby ┼żiadate─ż o certifik├ít skuto─Źne ovl├ídal dom├ęnu, pre ktor├║ chce certifik├ítÔÇť.

Apple Podnikne v├Żznamn├Ż krok vpred

Ale to nie je v┼íetko. Apple sa podarilo urobi┼ą to, ─Źo v├Ą─Ź┼íina pr├şslu┼ín├Żch org├ínov v├íhala splni┼ą cel├║ t├║to dobu: skr├íti┼ą maxim├ílnu platnos┼ą vydan├Żch certifik├ítov na jeden rok.

Technick├Ż gigant ned├ívno ozn├ímil, ┼że od 1. septembra 2020 spolo─Źnos┼ą Safari odmietne nov├ę certifik├íty HTTPS, ktor├Żch platnos┼ą vypr┼í├ş o viac ako 13 mesiacov (alebo 398 dn├ş) od d├ítumu ich vytvorenia, ─Ź├şm sa skr├íti maxim├ílna ┼żivotnos┼ą certifik├ítov z 825 dn├ş.

Nasleduje ne├║spe┼ín├ę hlasovanie, ktor├ę sa konalo v septembri minul├ęho roka na f├│re CA / Browser Forum s cie─żom skr├íti┼ą ┼żivotnos┼ą certifik├ítov. ┼áifrujme, certSIGN, Apple, Cisco, Google, Microsoft, Mozilla a Opera hlasovali za tento krok, takmer dve tretiny z├║─Źastnen├Żch CA t├║to my┼ílienku odmietli.

ApplePrechod na skr├ítenie ┼żivotnosti certifik├ítov HTTPS znamen├í, ┼że certifika─Źn├ę autority ako Let's Encrypt a ACME klienti, ako napr├şklad Certbot, sa stan├║ cennej┼í├şmi v bud├║cnosti, preto┼że by to prin├║tilo spr├ívcov webov├Żch str├ínok pou┼ż├şva┼ą certifik├ít vydan├Ż pre 1 rok alebo menej.

Ako zvy┼íuj├║ bezpe─Źnos┼ą certifik├íty s kr├ítkym trvan├şm ┼żivota?

Obmedzenie ┼żivotnosti certifik├ítov zvy┼íuje bezpe─Źnos┼ą webov├Żch str├ínok, v neposlednom rade preto, ┼że zni┼żuje mo┼żnos┼ą zlo─Źincov ukradn├║┼ą zanedban├ę certifik├íty na ├║toky phishingu a ┼íkodliv├ęho softv├ęru.

Po druh├ę, mobiln├ę verzie prehliada─Źov Chrome a Firefox proakt├şvne nekontroluj├║ stav certifik├ítu, ─Źo znamen├í, ┼że webov├ę str├ínky, ktor├Żch certifik├ít bol zru┼íen├Ż, sa bud├║ na─Ćalej na─Ź├ştava┼ą bez toho, aby by pou┼ż├şvate─ża upozornili.

Je to z d├┤vodov v├Żkonu, preto┼że prehliada─Źe bud├║ musie┼ą skon─Źi┼ą s┼ąahovan├şm zoznamov odvolan├Żch certifik├ítov (CRL), ktor├ę m├┤┼żu ma┼ą dos┼ą ve─żk├║ ve─żkos┼ą, ─Źo ovplyv┼łuje na─Ź├ştanie str├ínky.

Namiesto toho pou┼ż├şva prehliada─Ź Chrome CRLSets na ÔÇ×blokovanie certifik├ítov v n├║dzov├Żch situ├íci├íchÔÇť, zatia─ż ─Źo Mozilla experimentovala s CRLite vo svojich no─Źn├Żch stavb├ích.

Okrem t├Żchto techn├şk v├Żrobca prehliada─Źa Firefox tie┼ż ozn├ímil technick├ę ┼ípecifik├ície pre nov├Ż kryptografick├Ż protokol s n├ízvom ÔÇ×Delegovan├ę poverenia pre TLSÔÇť, ktor├Ż ÔÇ×umo┼ż┼łuje spolo─Źnostiam z├şska┼ą ─Źiasto─Źn├║ kontrolu nad procesom podpisovania nov├Żch certifik├ítov pre seba – s platnos┼ąou platnosti nie dlh┼íie ako 7 dn├ş a bez ├║pln├ęho spoliehania sa na certifika─Źn├║ autoritu. ÔÇťÔÇť

To je samozrejm├ę AppleRozhodnutie o skr├íten├ş ┼żivotnosti certifik├ítov je v├Żznamn├Żm krokom vpred z h─żadiska bezpe─Źnosti. A ak to akt├şvne zabr├íni pou┼ż├şvate─żom v pr├şstupe na kompromitovan├ę webov├ę str├ínky, m├┤┼że to by┼ą len dobr├í vec.