+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Помилки у програмному забезпеченні та неправильне тлумачення галузевих стандартів лежать в основі більшості випадків неправильно виданих SSL-сертифікатів

Помилки програмного забезпечення та неправильне тлумачення галузевих стандартів лежать в основі більшості випадків неправильно виданих SSL-сертифікатів

Помилки в програмному забезпеченні та неправильне тлумачення галузевих стандартів лежать в основі більшості випадків неправильно виданих SSL-сертифікатів — на них припадає 42% усіх інцидентів. Дослідники зі Школи інформатики та обчислювальної техніки Індіанського університету в Блумінгтоні (США) проаналізували 379 випадків неправильно виданих SSL-сертифікатів з більш ніж 1300 відомих інцидентів.

Центри сертифікації або центри, що засвідчують, — організації, які продають або надають безкоштовні SSL-сертифікати, які потім використовуються для шифрування зв'язку між клієнтами та серверами у формі HTTPS-з'єднань. Діяльність центрів регулюється CA/B Forum - галузевий групою, що складається з виробників браузерів та ОС. CA/B Forum публікує та оновлює галузеві стандарти, які визначають правильний спосіб видачі SSL-сертифікатів.

Дослідники хотіли з'ясувати, як центри, що засвідчують, дотримуються галузевих стандартів, і що є найбільш поширеною причиною неправильної видачі SSL-сертифікатів. За минулі роки у центрів сертифікації виникло кілька помилок, коли вони видавали сертифікати без дотримання цих правил. Наприклад, видача SSL-сертифікатів в окремих випадках дозволяла злочинцям проводити MitM-атаки, перехоплювати HTTPS-трафік та здійснювати шкідливі операції. Для того, щоб уникнути закінчення термінів служби, центри, що засвідчують, також видавали SSL-сертифікати заднім числом, без перевірки, чи є покупець законною особою/компанією.

За словами дослідників, більшість випадків неправильна видачі SSL-сертифікатів були викликані помилками програмного забезпечення. З 379 проаналізованих випадків 91 (24%) були викликані програмними помилками в одній із програмних платформ центрів сертифікації, внаслідок чого клієнти отримували невідповідні нормам SSL-сертифікати.

Другою найпоширенішою причиною було неправильне тлумачення правил CA/B Forum, становлячи 69 (18%) всіх випадків неправильної видачі SSL-сертифікатів. Зловмисна передача SSL-сертифікатів посідає третє місце, у 52 випадках (14%) центри сертифікації навмисне вирішили отримати фінансову вигоду, порушивши галузеві правила. Четвертою причиною виявився людський фактор — 37 випадків (10%). Операційні помилки, що відбулися у внутрішніх процедурах центрів, що посвідчують, займають п'яте місце і налічують 29 випадків (8%). Шостою причиною була «неоптимальна перевірка запиту». Ця помилка відбувається при перевірці особи клієнта, наприклад, коли автор шкідливого ПЗ отримує SSL-сертифікат під виглядом легітимної компанії. Дослідники виявили 24 (6%) подібних інцидентів.

За результатами дослідження, до найбільш проблемних центрів сертифікації входили такі компанії, як StartCom, WoSign, DigiCert, PROCERT, Comodo (тепер Sectigo), Quo Vadis, VISA, GoDaddy, Certum, Camerfirma та SwissSign.

Інші новини

Найкраща ціна