Vnitřně používané certifikáty SSL jsou budoucí hrozbou

S varováním přišla ve své zprávě organizace ICANN. Ta se obává zneužití certifikátů SSL vydaných pro neveřejná doménová jména k odposlechu komunikace vedené přes protokol HTTPS. O velký problém by šlo ve chvíli, kdy se uvedou do provozu nové domény nejvyššího řádu.

Jako příklad problémového certifikátu ICANN uvedla certifikát vydaný odpovědnou certifikační autoritou australskému výrobci oblečení Quicksilver pro doménu webmail.quiksilver.com.au. Certifikát je platný také pro veřejně nerozpoznatelná doménová jména qsauhub01, qsauhub01.sea.quiksilver.corp, qsauhub02, qsauhub02.sea.quiksilver.corp a autodiscover.sea.quiksilver.corp.

Koncovka .corp se v privátních firemních sítích používá již dlouhou dobu, ovšem v současné době se o ní reálně uvažuje jako o nové generické doméně. Podle informací z oficiálních stránek ICANN má o registraci generické domény .corp v současné době zájem šest organizací.

„Pokud by útočník získal certifikát ještě předtím, než bude nová gTLD někomu přidělena, mohl by potají přesměrovat uživatele z původních stránek na vlastní infikovaný web, který bude díky používanému certifikátu SSL vypadat velmi důvěryhodně. Riskujeme tak vážné narušení integrity a soukromí komunikací vedených přes HTTPS, stejně jako přes ostatní protokoly spoléhající na certifikáty X.509,“ píše ICANN.

V modelovém případě se výzkumníkům podařilo aplikovat výše uvedenou metodu na doménu .site. Přestože .site zatím není v provozu, velmi pravděpodobně se stane jednou z nových gLTD. Někteří žadatelé o registraci této koncovky již dokonce nabízejí možnost předběžné registrace doménových jmen.

ICANN také zjistila, že do roku 2010 bylo vydáno přes 37 tisíc certifikátů pro vnitřní doménová jména. Zhruba v 1 tisíci případů jde o domény používající některou z poptávaných koncovek gLTD. Skutečné množství domén, které jsou v konfliktu s budoucími generickými doménami, je však pravděpodobně mnohem větší.

O problému se ví již delší dobu, protože organizace CA/Browser Forum sdružující certifikační autority v červnu loňského roku oficiálně požádala své členy, aby již nevydávali nové certifikáty pro interní serverová jména, jejichž platnost skončí v listopadu 2015. V říjnu 2016 by pak mělo dojít k odvolání všech zbývajících certifikátů, čímž de facto dojde k jejich úplnému zániku.