Tegoroczne ataki na instytucje wydające certyfikaty SSL (Comodo, DigiNotar, GlobalSign) wywołały spore zamieszanie w świecie IT. Skrajne głosy o upadku idei PKI (Public Key Infrastructure) przeplatały się z opiniami o ignorancji internautów w zakresie użytkowania cyfrowych certyfikatów. Okazuje się, że to ten ostatni aspekt najpełniej pozwala rozwinąć skrzydła hakerom fałszującym certyfikaty witryn sieciowych.

W przypadku stron WWW, jedną z głównych ról certyfikatów jest uwierzytelnienie domeny - tak, aby użytkownik odwiedzający daną witrynę był pewny, że dostał się tam, gdzie naprawdę chciał. Certyfikaty SSL są częścią systemu bezpieczeństwa nazywanego Infrastrukturą Klucza Publicznego (PKI). Jednostkami nadrzędnymi są w nim poszczególne Urzędy Certyfikacyjne (Certificate Authority - CA), które czuwają nad poprawnością przyznawania certyfikatów poszczególnym domenom.

Zobacz też: SSL: Notariaty - nowe podejście do weryfikacji certyfikatów

Z chwilą, gdy dojdzie do przejęcia CA przez hakerów, możliwe jest wygenerowanie wielu fałszywych "świadectw" bezpieczeństwa, które mogą służyć do uwiarygodnienia specjalnie przygotowanych stron WWW, udających oryginały. Przykładem, dobrze ilustrującym potencjalny stopień zagrożenia, jest niedawna działalność cyberprzestępców, którzy uzyskali 531 fałszywych certyfikatów SSL obejmujących domeny internetowe należące m.in. do CIA, Mossadu, rządu holenderskiego oraz firm takich, jak Google, Twitter czy Microsoft. Według informacji specjalistów są to ci sami ludzie, którzy włamali się do Urzędu Certyfikacji, należącego do firmy DigiNotar.

Przejęcie kontroli nad wystawianiem certyfikatów może posłużyć również do przeprowadzenia ataków typu "man-in-the-middle", pozwalających na podsłuchiwanie i modyfikowanie informacji przesyłanych między dwoma punktami końcowymi sieci (przy transmisji chronionej szyfrem).

Polecamy: Bezpieczeństwo IT: 10 przełomowych osiągnięć

Eksperci zajmujący się problematyką bezpieczeństwa sieciowego zgodnie przyznają, że do skutecznych włamań do Centrum Certyfikacji w ogóle nie powinno dojść. W całej sprawie ważniejszy wydaje się jednak inny aspekt - świadomość internautów dotycząca zagrożeń i wiedza na temat cyfrowych certyfikatów. Okazuje, że obie te kwestie pozostawiają wiele do życzenia. Mało kto przykłada wagę do ostrzeżeń, jakie generowane są przez certyfikaty - ważne jest, aby za wszelką cenę dostać się do danej strony WWW. Dla większości użytkowników dodatkowe komunikaty są po prostu drażniące i spowalniają jedynie proces otwierania się witryn.

Złe nawyki użytkowników są po części efektem zaniedbań przy trwającym niemal dwie dekady wdrażaniu elementów PKI. Certyfikaty SSL wielu stron internetowych zawierają błędy (np. niepoprawna nazwa hosta, błędy x.509, wygaśnięcie ważności), co dodatkowo zniechęca internautów do wczytywania się w skomplikowane komunikaty. Szczegółowe badania na ten temat przeprowadziła w ub. r. firma Qualys. Ivan Ristic, jej dyrektor techniczny, przedstawił wyniki podczas zeszłorocznej konferencji Black Hat.