Помилки у програмному забезпеченні та неправильне тлумачення галузевих стандартів лежать в основі більшості випадків неправильно виданих SSL-сертифікатів
Помилки програмного забезпечення та неправильне тлумачення галузевих стандартів лежать в основі більшості випадків неправильно виданих SSL-сертифікатів
Помилки в програмному забезпеченні та неправильне тлумачення галузевих стандартів лежать в основі більшості випадків неправильно виданих SSL-сертифікатів — на них припадає 42% усіх інцидентів. Дослідники зі Школи інформатики та обчислювальної техніки Індіанського університету в Блумінгтоні (США) проаналізували 379 випадків неправильно виданих SSL-сертифікатів з більш ніж 1300 відомих інцидентів.
Центри сертифікації або центри, що засвідчують, — організації, які продають або надають безкоштовні SSL-сертифікати, які потім використовуються для шифрування зв'язку між клієнтами та серверами у формі HTTPS-з'єднань. Діяльність центрів регулюється CA/B Forum - галузевий групою, що складається з виробників браузерів та ОС. CA/B Forum публікує та оновлює галузеві стандарти, які визначають правильний спосіб видачі SSL-сертифікатів.
Дослідники хотіли з'ясувати, як центри, що засвідчують, дотримуються галузевих стандартів, і що є найбільш поширеною причиною неправильної видачі SSL-сертифікатів. За минулі роки у центрів сертифікації виникло кілька помилок, коли вони видавали сертифікати без дотримання цих правил. Наприклад, видача SSL-сертифікатів в окремих випадках дозволяла злочинцям проводити MitM-атаки, перехоплювати HTTPS-трафік та здійснювати шкідливі операції. Для того, щоб уникнути закінчення термінів служби, центри, що засвідчують, також видавали SSL-сертифікати заднім числом, без перевірки, чи є покупець законною особою/компанією.
За словами дослідників, більшість випадків неправильна видачі SSL-сертифікатів були викликані помилками програмного забезпечення. З 379 проаналізованих випадків 91 (24%) були викликані програмними помилками в одній із програмних платформ центрів сертифікації, внаслідок чого клієнти отримували невідповідні нормам SSL-сертифікати.
Другою найпоширенішою причиною було неправильне тлумачення правил CA/B Forum, становлячи 69 (18%) всіх випадків неправильної видачі SSL-сертифікатів. Зловмисна передача SSL-сертифікатів посідає третє місце, у 52 випадках (14%) центри сертифікації навмисне вирішили отримати фінансову вигоду, порушивши галузеві правила. Четвертою причиною виявився людський фактор — 37 випадків (10%). Операційні помилки, що відбулися у внутрішніх процедурах центрів, що посвідчують, займають п'яте місце і налічують 29 випадків (8%). Шостою причиною була «неоптимальна перевірка запиту». Ця помилка відбувається при перевірці особи клієнта, наприклад, коли автор шкідливого ПЗ отримує SSL-сертифікат під виглядом легітимної компанії. Дослідники виявили 24 (6%) подібних інцидентів.
За результатами дослідження, до найбільш проблемних центрів сертифікації входили такі компанії, як StartCom, WoSign, DigiCert, PROCERT, Comodo (тепер Sectigo), Quo Vadis, VISA, GoDaddy, Certum, Camerfirma та SwissSign.