Mieri internet k bezpečnejšej budúcnosti? Za posledných šesť mesiacov takmer štyri milióny stránok z celého sveta získali bezplatné bezpečnostné certifikáty.
Neziskovka Internet Security Research Group (ISRG) tento týždeň oznámila, že jej iniciatíva Let’s Encrypt, čo by sa dalo voľne preložiť ako Poďme šifrovať, končí s testovaním a blíži sa k tomu, aby pomohla miliónom internetových stránok po celom svete prejsť z nezabezpečeného štandardu HTTP na HTTPS. Hlavným cieľom iniciatívy je podľa slov zakladateľa ISRG Josha Aasa „dosiahnuť stopercentné šifrovanie“.
Pre iniciátorov Let‘s Encrypt je až šokujúce, koľko našich informácií nestrážene poletuje internetom, pričom ktokoľvek si ich dokáže stiahnuť a prečítať. „To nie je niečo, čo by mali ľudia od tak dôležitej informačnej siete dnes očakávať“, dodáva v svojej správe Josh Aas.
Webový štandard HTTPS (hypertext transfer protocol secure) prináša primeranú ochranu pred odpočúvaním a pred útokmi známymi ako „man in the middle“. HTTPS totiž šifruje prenos dát použitím bezpečnostných protokolov SSL (Secure Socket Layer) alebo TLS (Transport Layer Security). Má to však jeden problém. Ak chce stránka prejsť na spomínaný štandard, musí získať certifikát, čo je najväčšia prekážka pri prechode zo štandardu HTTP na HTTPS. Cena certifikátu sa totiž môže pohybovať od 50 eur do 2000 eur ročne. A práve toto bremeno chcú ľudia z ISRG odstrániť.
Iniciatíva Let’s Encrypt totiž funguje ako certifikačná autorita a na rozdiel od svojich komerčných náprotivkov ponúka vďaka sponzorom Cisco, Google či Akamai certifikáty zadarmo.
Úsilie, ktoré do svojho projektu autori vložili, viedlo k viditeľnej zmene. Za šesť mesiacov pôsobenia stihla ISRG vydať 1,8 miliónov certifikátov pre viac ako 3,8 milióna stránok. Stala sa tak ich tretím najväčším poskytovateľom hneď po firmách Comoda a Symantec. Pred spustením iniciatívy, ktorá sa začala zhruba pred šiestimi mesiacmi, bolo s HTTPS zabezpečených len 38,5 percent stránok, ktoré navštívili užívatelia Firefoxu. Dnes je to viac ako 42 percent a čísla ďalej rastú.
Certifikáty od ISRG sú nastavené tak, aby ich dokázali nainštalovať aj ľudia bez skúseností a špeciálnej výbavy. Nepomáha to len jednotlivcom, ale aj veľkým spoločnostiam, ako je napríklad WordPress. Táto firma ohlásila, že všetky stránky na WordPresse budú predvolene šifrované. Automatizácia by mala byť v najbližších mesiacoch ešte sofistikovanejšia.
Objavujú sa však aj obavy. V januári 2016 bezpečnostná firma Trend Micro upozornila, že certifikát spoločnosti bol použitý na šifrovanie spojenia medzi nakazenou stránkou a kyberkriminálnikmi. ISRG priznáva, že pri takom množstve udelených certifikácií môžu niektoré skončiť aj v rukách kriminálnikov. Josh Aas napriek tomu verí, že ide len o malú cenu v porovnaní s bezpečnosťou ktorú „Let’s Encrypt“ prináša.
(PP)