Osam posto digitalnih certifikata nevalidno

Procijenjuje se da je osam posto digitalnih certifikata koje veb stranice koriste za autenitifikaciju i enkripciju saobraćaja je nevalidno.
Istraživači su utvrdili da su certifikati su povučeni, ali se idalje koriste, što predstavlja bezbjednosni rizik.

Veb stranice u okviru PKI (Public Key Infrastructure) infrastruktuje korise mehanizam digitalnih certifikata za autenitifikaciju i enkripciju komunikacije sa korisnikom.
Certifikat se može povući nakon što istekne vrijeme predviđeno za korišćenje ili u nekim drugim slučajevima, npr u slučaju zloupotrebe.
Certifikacioni autoriteti CA su entiteti zaduženi za izdavanje, distibuciju i povlačenje certifikata.

Nakon povlačenja CA distribuira CRL (Certificate revocation lists), liste povučenih certifikata. Problem je što mnogi CA koriste neoptimalne metode distribucije.
Drugi krivac za ovu situaciju su i neki veb čitači koji ne provjeravaju da li je certifikat povučen. Istraživači tvrde da nijedan veb čitač nije podrazumjevano podešen da odbacuje povučene i nevalidne certifikate.

U publikaciji An End-to-End Measurement of Certificate Revocation in the Web’s PKI, istraživači iznose više ranjivosti vezane za provjeru digitalnih certifikata.

Izvor:www.darkreading.com