Войти в почту

Ошибки в ПО являются основной причиной ошибочно выданных SSL-сертификатов

Ошибки в программном обеспечении и неправильное толкование отраслевых стандартов лежат в основе большинства случаев неправильно выданных SSL-сертификатов — на них приходится 42% от всех инцидентов. Исследователи из Школы информатики и вычислительной техники Индианского университета в Блумингтоне (США) проанализировали 379 случаев неправильно выданных SSL-сертификатов из более чем 1300 известных инцидентов. Центры сертификации или удостоверяющие центры — организации, которые продают или предоставляют бесплатные SSL-сертификаты, которые затем используются для шифрования связи между клиентами и серверами в форме HTTPS-соединений. Деятельность центров регулируется CA/B Forum — отраслевой группой, состоящей из производителей браузеров и ОС. CA/B Forum публикует и обновляет отраслевые стандарты, которые определяют правильный способ выдачи SSL-сертификатов. Исследователи хотели выяснить, как удостоверяющие центры придерживаются отраслевых стандартов, и что является наиболее распространенной причиной неправильной выдачи SSL-сертификатов. За прошедшие годы у центров сертификации возникло несколько ошибок, когда они выдавали сертификаты без соблюдения данных правил. Например, выдача SSL-сертификатов в отдельных случаях позволяла преступникам проводить MitM-атаки, перехватывать HTTPS-трафик и совершать вредоносные операции. Для того чтобы избежать истечения сроков службы, удостоверяющие центры также выдавали SSL-сертификаты задним числом, без проверки, является ли покупатель законным лицом/компанией. По словам исследователей, большинство случаев неправильной выдачи SSL-сертификатов были вызваны ошибками программного обеспечения. Из 379 проанализированных случаев 91 (24%) были вызваны программными ошибками в одной из программных платформ центров сертификации, в результате чего клиенты получали не соответствующие нормам SSL-сертификаты. Второй наиболее распространенной причиной было неправильное толкование правил CA/B Forum, составляя 69 (18%) от всех случаев неправильной выдачи SSL-сертификатов. Злонамеренная передача SSL-сертификатов занимает третье место, в 52 случаях (14%) центры сертификации умышленно решили получить финансовую выгоду, нарушив отраслевые правила. Четвертой по частоте причиной оказался человеческий фактор — 37 случаев (10%). Операционные ошибки, произошедшие во внутренних процедурах удостоверяющих центров, занимают пятое место и насчитывают 29 случаев (8%). Шестой причиной была «неоптимальная проверка запроса». Данная ошибка происходит при проверке личности клиента, например, когда автор вредоносного ПО получает SSL-сертификат под видом легитимной компании. Исследователи обнаружили 24 (6%) подобных инцидентов. По результатам исследования, в число наиболее проблемных центров сертификации входили такие компании, как StartCom, WoSign, DigiCert, PROCERT, Comodo (теперь Sectigo), Quo Vadis, VISA, GoDaddy, Certum, Camerfirma и SwissSign.