Het gevaar van gratis SSL-certificaten

  1. 9 jun 2016
  2. 0 reacties

Venafi

In januari heeft Amazon Web Services (AWS), de cloud computing divisie van deze e-commerce gigant, AWS Certificate Manager (ACM) geïntroduceerd.

De reden daarvoor is het feit dat SSL/TLS-certificaten die vaak worden gebruikt voor het beveiligen van de Amazon Web Services veel tijd kosten om uit te geven, te installeren en te beheren. Daardoor beperken ze de toepassing ervan.

ACM reduceert de complexiteit van SSL/TLS-certificaatmanagement door certificaten rechtstreeks via Amazon’s certificate authority (CA) en Amazon Trust Services (ATS) uit te geven. Dat is een grote stap voor Amazon, omdat zij daarmee de CA-markt betreden. Hoewel de nieuwe service eerst alleen in de Verenigde Staten wordt geleverd, is het Amazon’s ambitie dit aanbod wereldwijd uit te rollen.

ACM is een mooi initiatief voor alle bedrijven die snel transacties willen versleutelen en beveiligen binnen de Elastic Load Balancers (ELC) en/of CloudFront (CF) omgevingen. Verder zijn de ACM-certificaten gratis, wat een trend lijkt te worden naarmate de markt beweegt naar 100% encryptie van alle online transacties en communicatie.

In tegenstelling tot andere CA’s is het echter niet ACM’s ambitie met hen te gaan concurreren, omdat het niet hun business is certificaten te verkopen. Ze willen alleen de mogelijkheid bieden snel en eenvoudig extra beveiliging aan AWS toe te voegen. Dat is goed voor de cloud-business en kan ertoe leiden dat alle CA’s binnenkort gratis domain gevalideerde (DV) certificaten gaan leveren.

Gratis encryptie beveiligt niet uw sleutels en certificaten

Als Amazon ACM certificaten uitgeeft, worden de bijbehorende private sleutels in de cloud bewaard. Elke organisatie neemt een groot risico als zij private sleutels op een andere locatie bewaren dan op een hardware security module (HSM). Dat risico neemt toe naarmate die sleutels verder van het bedrijf worden bewaard, vandaar dat opslag in de cloud extra risicovol is. Wie dit toch doet vertrouwt erop dat degene die zo’n sleutel opslaat en bewaart daar als enige toegang toe heeft.

Encryptiesleutels in de cloud bewaren zien mensen met verkeerde intenties het liefst gebeuren (hackers of ontevreden medewerkers), omdat ze daar eenvoudiger te stelen zijn. Als een sleutel eenmaal gestolen is, kan men die verkopen via het Darknet, of misbruiken. Naarmate er meer gratis certificaten worden uitgegeven verzwakt de Internet-beveiliging. Criminelen zullen ze namelijk in toenemende mate gaan gebruiken om aanvalspogingen te verbergen in versleuteld verkeer.

Amazon ACM beveiligt geen encryptie en verhoogt evenmin de beveiliging van een organisatie

Het voordeel van de vereenvoudigde encryptie voor Amazon AWS services is groot, maar gaat helaas wel ten koste van de veiligheid. Alle door ACM uitgegeven sleutels en certificaten worden namelijk bewaard binnen de Amazon AWS cloud, om ze eenvoudiger te beheren. Het risico daarvan is dat criminelen alleen maar toegang hoeven te krijgen tot een AWS omgeving. Eenmaal binnen kunnen ze namelijk zelf vervalste sleutels en certificaten gaan gebruiken om via versleutelde verbindingen onzichtbaar te blijven.

PICTURE_Nick_v2-210x300 Nick Hunter

Een ander groot risico is dat wanneer er bij de Amazon CA wordt ingebroken, geen snelle oplossing beschikbaar is om gecompromitteerde sleutels en certificaten in te trekken (daarvoor is namelijk een Amazon service case nodig). Ook is er geen automatische back-up naar een tweede CA, zoals het NIST aanbeveelt. Het is niet de doelstelling van Amazon ACM certificaten beter te beveiligen, of te gaan concurreren met andere CA’s. Ze vereenvoudigen alleen de uitgifte en beheer van sleutels en certificaten voor gebruik in de AWS Cloud. Helaas laten ze daarbij ook steken vallen.

ACM geeft haar gebruikers bijvoorbeeld geen inzicht in certificaten die zijn uitgegeven door andere CA’s, terwijl de eigen certificaten voor zover nu bekend niet voor andere services te gebruiken zijn dan AWS Elastic Load Balancing of Amazon CloudFront. Verder is de levensduur beperkt tot 13 maanden, waarna ze zonder berichtgeving en inzicht worden vernieuwd. Amazon vereist zelfs dat gebruikers een service case openen als ze er geen gebruik meer van willen maken. ACM-gebruikers hebben ook geen mogelijkheid onbekende certificaten te identificeren en te registreren, of invloed uit te oefenen op de policies voor certificaatmanagement.

Door alle certificaten in de AWS-cloud op te slaan ontstaat er voor mensen met verkeerde intenties een interessante kans. Niet dat bedrijven daarom geen gebruik moeten maken van Amazon ACM. Wie op AWS vertrouwt voor snelle schaalbare cloud-resources, wil graag dat zijn transacties snel en veilig worden versleuteld. Daarbij moeten ze echter beseffen dat alleen het gebruik van ACM onvoldoende beveiliging biedt voor de gebruikte sleutels en certificaten, waardoor ze een bewust risico op inbraak of misbruik lopen.

Uit reacties van certificaatspecialisten blijkt dat het slechts een kwestie van tijd is voordat criminelen erin slagen om de gratis AWS-certificaten te gaan misbruiken. Om zich te verbergen in versleuteld verkeer en onzichtbaar gevoelige informatie te stelen. Hoewel de AWS-certificaten een uitkomst lijken om snel apps en services te bouwen, kunnen ze niet de benodigde beveiliging bieden die Global 5000 ondernemingen nodig hebben.

Nick Hunter, Senior Technical Manager, Venafi