Решив внести свой вклад в ускорение перевода сайтов и приложений на HTTPS, Amazon объявила о запуске менеджера SSL-сертификатов. Анонс был сделан в конце прошлой недели, менее чем через год после того, как компания подала в Mozilla и проект AOSP (Android Open Source Project — Android с открытым исходным кодом) заявку на получение полномочий корневого центра сертификации.

По свидетельству Джефа Барра (Jeff Barr), старшего специалиста по веб-сервису Amazon, новый помощник AWS будет снабжать клиентов сертификатами, заверенными УЦ Amazon и Amazon Trust Services (ATS), на безвозмездной основе. Заявки пока принимаются лишь от пользователей облачной службы Elastic Load Balancing и CDN-сети Amazon CloudFront.

Кроме выдачи сертификатов Amazon, по словам Барра, также берет на себя их развертывание и обновление. В дальнейшем компания обещает ввести поддержку для других AWS-служб и других способов удостоверения подлинности доменов. Ожидается, что менеджер сертификатов Amazon будет работать по всему миру, хотя в настоящее время он доступен лишь в «американско-восточном» регионе.

В своем новом начинании Amazon пошла по стопам Let’s Encrypt — инициативы EFF и ряда IT-компаний по ускорению всеобщей миграции на HTTPS. В прошлом месяце УЦ Let’s Encrypt был запущен в режиме бета-тестирования; в отличие от Amazon, участники этого проекта предоставляют свой клиент любому владельцу веб-сервера, желающему перевести его на HTTPS.

Полтора года назад с аналогичной инициативой выступил крупнейший CDN-провайдер CloudFlare, объявив, что будет предоставлять SSL-сертификаты всем клиентам, независимо от того, платят они или нет, и принимать HTTPS-соединения для большинства своих доменов.

Тем не менее некоторые эксперты опасаются, что шаг Amazon в том же направлении принесет больше вреда, чем пользы. Как и в случае с любым УЦ, всегда есть шанс, что новой услугой AWS воспользуются злоумышленники. Так, Кевин Боцек (Kevin Bocek), вице-президент Venafi по стратегии защиты от интернет-угроз, уверен, что в скором времени бесплатные сертификаты Amazon начнут использоваться как прикрытие на вредоносных сайтах.

«Критически важно, чтобы предприятия осознали риски, связанные с бесплатными сертификатами, которыми так любят злоупотреблять киберпреступники», — заявил эксперт. Сертификаты AWS — большое благо для разработчиков быстродействующих приложений, однако Боцек полагает, что они не обеспечат уровень безопасности, соответствующий корпоративному классу, вопреки ожиданиям некоторых компаний.

«Попомните мои слова: пройдет немного времени, и киберпреступники начнут использовать бесплатные сертификаты AWS для сокрытия своих намерений в шифрованном трафике, маскируясь от обнаружения в ходе кражи конфиденциальных данных», — предостерегает руководитель Venafi.

В подтверждение его слов уместным будет напомнить, что в конце декабря было зафиксировано первое злоупотребление бесплатной услугой Let’s Encrypt. Исследователи обнаружили сервер с вредоносной рекламой, использующий SSL-сертификат, выданный в рамках этого благого начинания. Тем не менее участники Let’s Encrypt воспринимают такие абьюзы как неизбежное зло.

Еще осенью Джош Аас (Josh Aas), исполнительный директор НКО Internet Security Research Group — контролера Let’s Encrypt, заявил, что УЦ, по его мнению, не обладают «достаточными возможностями для постоянного визуального контроля над содержимым сайтов» и что они не «приспособлены для проведения операций против фишинга и вредоносных программ».

В руководстве по использованию менеджера сертификатов (PDF), опубликованном на прошлой неделе, Amazon отметила, что заявителю может быть отказано в выдаче ACM-сертификата, если есть подозрение, что домен содержит вредоносное ПО или фишинговый контент. Однако степень активности домена на момент осмотра сайтов, использующих бесплатные сертификаты Amazon, этот документ не оговаривает.

Категории: Главное, Кибероборона