На различных конференциях и в онлайн-изданиях сегодня проходит множество дискуссий, на которых активно обсуждается вопрос уязвимости экосистемы безопасности, построенной на платформе криптографических протоколов Transport Layer Security (TLS) или Secure Sockets Layer (SSL). Их участники иногда даже спрашивают, не пришла ли пора вообще отказаться от системы удостоверяющих центров (УЦ). Всё это объясняется многочисленными заблуждениями относительно TLS/SSL и удостоверяющих центров, процветающими в нашей индустрии.
Иногда приходится слышать, что все сертификаты SSL одинаковы или что удостоверяющие центры не приносят никакой пользы. Другой миф утверждает, что протокол SSL устарел и полон ошибок. Пришло время расставить точки над “i”.
Одни, например, утверждают, что все сертификаты SSL одинаковы. Другие уверены, что УЦ не приносят никакой пользы и плохо контролируются — просто посмотрите на список разгоревшихся за последнее время скандалов вокруг конфиденциальности данных! Третий миф состоит в том, что сам протокол SSL устарел и полон ошибок. Но пришло время расставить точки над “i”.
Взломан ли протокол SSL?
Некоторые специалисты заявляют, что протокол SSL взломан и ситуацию уже невозможно исправить. По их мнению, вместо него необходимо найти другую систему аутентификации личности в режиме онлайн. Однако протокол SSL доказал, что SSL-сертификаты по-прежнему остаются самой надежной и масштабируемой криптографической системой в мире. Причины ставших широко известными проблем в SSL-системах лежат в отсутствии надлежащих мер по управлению внутренней безопасностью на уровне конечного субъекта, а не в недостатках решения в целом.
Большинство УЦ ориентировано на ужесточение глобальных стандартов в области безопасности с тем, чтобы смягчить последствия таких инцидентов в будущем. Хотя из-за постоянной эволюции угроз ни одна система безопасности не может быть абсолютно надежной, самый правильный путь состоит в практичном, масштабируемом развитии существующей системы вместо попыток заменить ее на продукты, которые еще не проходили полномасштабных испытаний и тестирования.
Так является ли SSL устаревшей системой со слишком большим количеством уязвимостей, чтобы применять её в долгосрочной перспективе? Как ключевой компонент системы безопасности сети Интернет на протяжении вот уже двух десятилетий, сертификаты, выданные публичными доверенными УЦ, остаются наиболее проверенным, надежным и масштабируемым методом защиты интернет-транзакций. Удостоверяющие центры продолжают работать во взаимодействии с партнерами по индустрии безопасности над развитием протокола SSL и включением в него дополнительной функциональности, которая обеспечит защиту всех пользователей Сети и позволит парировать вновь возникающие и изменяющиеся угрозы.
Однако не все типы сертификатов похожи друг на друга. Удостоверяющие центры выпускают множество сертификатов для решения самых разных задач. Это, например, сертификаты, заверяющие код с целью защиты приложений от тайного искажения и действия вредоносных программ; защищающие транзакции с Web-сайтами; сертификаты аутентификации клиентов, используемые в настройках корпоративной инфраструктуры с публичными ключами (public-key infrastructure, PKI), и сертификаты Secure Multipurpose Internet Mail Extension (S/MIME), удостоверяющие подлинность при обмене электронной почтой. Помимо этого УЦ предлагают сертификаты TLS/SSL с различными уровнями подтверждения.
В зависимости от сертификата удостоверяющие центры могут подтверждать регистрацию или управление доменом для компании, затребовавшей сертификат; факт юридической регистрации компании и право лица, затребовавшего сертификат, действовать от ее имени; подлинность организации, ее телефонного номера, юридического адреса и лица, обращающегося с запросом от ее имени; наличие в организационном поле сертификата EV (с расширенной проверкой) и OV (подтверждающего домен и компанию) идентификационных данных о его держателе.
Порой приходится слышать, что сотни промежуточных сертификатов, выданных сотнями различных УЦ, делают SSL технологией широкого потребления с необходимостью управлять слишком большим числом выданных сертификатов. Хотя в мире могут существовать сотни промежуточных сертификатов, корневой каталог Mozilla содержит примерно 65 собственных держателей доверенных корневых сертификатов. Кроме того, 90% всех SSL в Интернете происходит от корневых сертификатов пяти крупнейших мировых провайдеров.
Каждый УЦ действует в соответствии со стандартами, принятыми форумом Certification Authority/Browser Forum (CA/B Forum) и проходит аудит, выполняемый аккредитованной независимой бухгалтерской компанией. Форум CA/B, начавший свою работу в 2005 г., является органом по стандартизации, стремящимся внедрить стандарты в деятельность всех удостоверяющих центров, а также в механизм работы браузеров, таких как Chrome и Firefox.
Но даже в этой ситуации мы продолжаем слышать протесты, что аннулирование сертификатов либо не нужно, либо может быть скомпрометировано и что преимущества этого шага не перевешивают возможных проблем с производительностью браузеров. В действительности аннулирование сертификатов играет ключевую роль в экосистеме SSL как основной инструмент аутентификации при определении возможности доверия к тому или иному сертификату.
Миллиарды запросов о статусе сертификатов каждый день пересылаются на специальные серверы, расположенные по всему миру. Эти серверы сообщают браузерам, можно ли признать сертификат действительным или нет, и защищают пользователей, гарантируя им посещение только тех страниц, которые заслуживают доверия. Многие УЦ работают с браузерами и другими инструментами для дальнейшего улучшения существующих методов и разработки новых систем отзыва сертификатов, призванных обеспечить эффективный баланс между производительностью и безопасностью и предложить более быстрый и защищённый доступ к информации для всех пользователей сети Интернет.
Зачем использовать удостоверяющие центры?
Приносят ли УЦ достаточно пользы? За последние двадцать лет они обеспечивали безопасность работы c интернет-ресурсами, ставя на кон свою собственную репутацию. Удостоверяющие центры прикладывают массу усилий для обеспечения безопасности своих внутренних операций и центров обработки данных, обучая своих сотрудников на основе лучших практик в области проверки и выдачи сертификатов и заставляя индустрию принимать меры управления безопасностью, включая периодическое тестирование на возможность несанкционированного доступа и наличие уязвимостей наряду с ежегодными аудиторскими проверками систем безопасности, которые выполняют независимые компании. Большинство УЦ принимают участие в работе CA/B Forum, отчитываются друг перед другом и работают над тем, чтобы исключить повторение инцидентов, имевших место в некоторых удостоверяющих центрах в 2011 г.
Еще одним заблуждением является мнение о нерегулируемости УЦ. В действительности эти центры представляют собой предмет тщательного контроля. Аудит выполняют квалифицированные независимые компании, и для основных браузеров задаются самые строгие критерии.
Твердые и общедоступные основные требования и руководящие принципы устанавливаются глобальными стандартами для выдачи сертификатов и работы УЦ, которые затем включаются в стандарты такого аудита, проводимого независимыми компаниями. Центры, не получившие подтверждение соответствия указанным стандартам, могут быть исключены из корневых каталогов компаниями, разрабатывающими браузеры.
Люди, ратующие за альтернативные модели подтверждения, утверждают также, что УЦ ограничены, невосприимчивы и не желают принимать новые изменения для протоколов TLS/SSL. На самом деле всё обстоит точно наоборот.
Огромное количество УЦ принимают участие в работе органов, вырабатывающих стандарты индустрии; групп, занимающихся образованием и пропагандой; исследовательских организаций, принимающих участие в выдвижении новых предложений и принятии стандартов. Удостоверяющие центры активно работают с браузерами, доверяющими сторонами и другими заинтересованными лицами для усиления безопасности доступа в Интернет, проводя с этой целью практичные, продуманные меры и совместные исследования. Большая часть такого диалога ведётся в публичном формате, например, в форме дискуссий в рамках CA/B Forum.
Имеют ли УЦ какие-либо стимулы для внедрения инноваций и проведения необходимых усовершенствований? Без всякого сомнения! Поскольку репутация удостоверяющих центров критически важна для их выживания, они прекрасно понимают необходимость изменений и совместно работают над развитием системы SSL. Каждый раз, когда появляются известия о каком-либо сбое в работе УЦ, страдает репутация всех центров — и самой системы в целом.
Таким образом, большинство удостоверяющих центров напряженно работает над развитием отрасли и поддержанием эффективной системы безопасности в масштабах собственной инфраструктуры и инфраструктуры своих клиентов. Принятые в последнее время обязательные для выполнения стандарты включают основные требования, принципы сетевой безопасности, технологию заверения EV-кода и расширения стандартов EV SSL, в настоящее время идет обсуждение других стандартов.
Экосистема поддержки TLS/SSL развивалась и отстраивалась на протяжении двадцати с лишним лет и сейчас представляет собой краеугольный камень доверительных отношений в Интернете. Огромные инвестиции, сделанные удостоверяющими центрами в собственное развитие и в развитие SSL, позволяют утверждать, что TSL-сертификаты, предоставляемые УЦ, будут и впредь представлять собой постоянно улучшаемую основу системы безопасности в Интернете, по крайней мере в ближайшие годы.
Хотя концепция цифровых сертификатов не сильно изменилась, в последнее время были разработаны новые способы управления сертификатами, более высокие уровни шифрования и расширенные методы подтверждения подлинности сертификатов. И хотя недоброжелатели могут в качестве примеров привести несколько не связанных друг с другом инцидентов, понизивших доверие к УЦ, думаю, что развитие улучшенных стандартов — вместе с поддержкой и коллективной ответственностью в рамках CA/B Forum — позволит удостоверяющим центрам оставаться на страже доверительных отношений на протяжении многих лет.
