Certificatele SSL gratuite, o atractie pentru hackeri.
In luna Decembrie 2015, site-ul Let’s Encrypt a inceput sa ofere certificate SSL gratuite folosind programul Beta. Chiar dupa lansare, cand serviciul a luat viata s-a observat faptul ca Let’s Encrypt nu ofera credibilitate totala, iar in acest articol o sa vedeti despre ce anume este vorba.
Accesand un website securizat cu solutia gratuita de la Let’s Encrypt putem observa ca protocolul HTTPS activ in pagina, iar acest lucru ne garanteaza faptul ca s-a stabilit o conexiune securizata intre browser si site-ul respectiv. De asemenea, certificatul SSL instalat va asigura ca toate tranzactiile sunt securizate si confidentiale si puteti sa realizati tranzactii sau sa introduceti date confidentiale pe site.
Merita sa ai incredere intr-un serviciu gratuit, mai ales atunci cand acest serviciu este in faza BETA?
Toti webmasterii stiu ca certificatele SSL se comercializeaza pe site-urile de specialitate cu costuri cuprinse intre 10 si 200 dolari. Acest pret poate insa sa difere in functie de tipul de certificat ales. Costurile initiale pot sa creasca in urmatorul an deoarece majoritatea clientilor beneficiaza in primul an de oferte speciale. In fine, exista si clientii care aleg sa activeze certificate SSL gratuite, certificate care nu mereu sunt de incredere.
Trend Micro a demonstrat faptul ca certificatele SSL gratuite sunt o atractie pentru hackeri, acestia avand posibilitatea sa distribuie fisiere de tip malware fara ca proprietarul contului de gazduire sa aiba cunostinta de acest lucru. Procesul pe care hackerii il folosesc se numeste “Domain Shadowing” si este o tehnica care permite injectarea si crearea de subdomenii infectate (fake-uri) in cadrul site-urilor de incredere. In majoritatea cazurilor detinatorii numelor de domenii afectate nu au conostinta de aceste atacuri.
Toti detinatorii de website-uri trebuie sa ofere o atentie sporita acestui gen de atacuri deoarece risca sa “intermedieze” furturi de date personale prin cadrul site-urilor proprii, fara ca ei sa stie acest lucru.
Cazul descris mai sus a fost testat de catre Trend Micro, iar in urma testelor realizate, acestia au trimis o notificare speciala companiei Let’s Encrypt in care a explicat natura vulnerabilitatii si riscurile la care sunt expusi cei care activeaza serviciul lor gratuit.
Pentru a evita astfel de situatii este recomandat sa utilizezi doar certificate SSL oferite de catre providerii de top, provideri care ofera incredere totala. Securitatea informatiilor este cel mai important aspect in ziua de astazi, iar activarea unui certificat SSL oferit de catre un provider de incredere este primul pas in prevenirea atacurilor informatice de orice fel.