De la introducerea SSL de către Netscape în 1994, certificatele digitale au crescut odată cu întregul web. Prin încercări și erori, inovații și ajustări, certificatele SSL au fost perfecționate în mod constant pentru a satisface cele mai riguroase nevoi de securitate.
Reducerea valabilității SSL la doar un an și eliminarea barei verzi de adrese din certificatele cu validare extinsă sunt doar câteva dintre modificările recente pe care Forumul CA/Browser le-a implementat pentru a fi în fața amenințărilor cibernetice și pentru a face criptarea digitală mai previzibilă. În lumea autorităților de certificare, schimbarea este singura constantă.
Câmpul Unitate organizațională (OU) nu este ceva ce ați asocia direct cu securitatea SSL, mai ales că a făcut parte din procesul de comandă SSL încă de la început. Dar acum, timpul câmpului OU se apropie de sfârșit, iar CA-urile îl vor elimina până la sfârșitul lunii august 2022. Deci, care este motivul din spatele eliminării unui câmp aparent benign? Pentru a avea o imagine completă, să aflăm care a fost scopul inițial al câmpului OU.
Câmpurile unității organizaționale – o scurtă prezentare generală
De fiecare dată când comandați un certificat SSL, trebuie să generați o cerere de semnare a certificatului (CSR) și să completați câmpurile cu datele dumneavoastră de contact ca parte a procesului de validare. CSR-ul include detalii despre compania dumneavoastră, țara de reședință și numele de domeniu pe care doriți să îl asigurați. Printre câmpurile pe care trebuie să le completați se numără și câmpul Unitatea organizațională. Puteți introduce în el practic orice date doriți, iar acest lucru este exact ceea ce îl face să fie vag și înșelător.
Intenția inițială a câmpului OU a fost de a acționa ca un câmp de tip “placeholder” în care companiile puteau plasa date relevante despre certificat și despre modul în care acesta trebuia să fie utilizat. O practică obișnuită este de a include date de referință pentru facturare, astfel încât departamentul financiar să știe cine a cumpărat certificatul.
Dacă ar fi să urmați acest exemplu, ați scrie ceva de genul “IT” sau “Security” în câmpul OU. Dar nimic nu vă împiedică să introduceți orice doriți, de la nume de țări până la personaje de desene animate. Dacă firma dvs. are sediul central în SUA, dar o filială internațională gestionează certificatele, ați putea scrie ceva de genul “Franța” sau “străinătate”. Și aici este locul unde ambiguitatea fișierului OU poate deruta utilizatorii.
Să spunem că unul dintre clienții companiei dumneavoastră este Delta Air Lines. Dacă ați include-o în câmpul OU, unii utilizatori ar putea crede că certificatul aparține companiei Delta Air Lines și nu organizației dumneavoastră. Și, deși acesta poate părea un exemplu extrem, natura opțională a câmpului OU îl face predispus la confuzii și interpretări greșite – lucruri inacceptabile în domeniul securității cibernetice moderne.
Posibile lacune de securitate
Certificatele SSL sunt acum o cerință pentru toate tipurile de site-uri web. Companiile implementează sute de certificate pentru a-și satisface nevoile de securitate, dar nu toată lumea urmează cele mai bune practici de gestionare SSL. Conform unui studiu Detectify Labs raport, există pericole în ceea ce privește implementarea acestor certificate care “pot duce la expunerea sau compromiterea datelor companiei de către actori rău intenționați”.
Detectify a analizat peste 900 de milioane de certificate SSL și a evidențiat riscurile majore asociate cu SSL. În contextul domeniului OU, următoarea concluzie este relevantă:
“Analiștii au constatat că majoritatea covârșitoare a domeniilor nou certificate au primit nume descriptive. Acest lucru poate părea inofensiv, dar poate reprezenta de fapt un risc pentru informațiile de afaceri.”
În cazul în care certificatul este emis într-o etapă de dezvoltare, concurenții ar putea avea suficient timp pentru a submina noile întreprinderi sau produse înainte ca acestea să ajungă pe piață. Dar chiar dacă ați ales șiruri de caractere aleatorii în locul unor produse descriptive, o informație aleatorie din câmpul OU trimisă în timpul procesului de comandă ar putea dezvălui o parte din secretele dumneavoastră.
E timpul să ne luăm rămas bun
Având în vedere că amenințările cibernetice cresc pe zi ce trece, autoritățile de certificare lucrează peste program pentru a perfecționa și consolida protocoalele de securitate care guvernează certificatele SSL. Pe măsură ce vechile concepte și elemente devin învechite, abordarea “mai puțin înseamnă mai mult” este o modalitate eficientă de a elimina confuzia și eventualele lacune pe care hackerii le pot exploata.
La sfârșitul anilor ’90 și la începutul anilor ’90, pe piață existau doar câteva autorități de certificare, iar numărul de companii care solicitau SSL era semnificativ mai mic. Intenția inițială era ca puținele CA existente să fie verificate manual de către browsere, ceea ce ar fi avut ca rezultat o încredere sporită în faptul că aceste CA fac totul cât mai sigur posibil. Dar odată cu apariția certificatelor SSL, această sarcină a devenit din ce în ce mai dificilă.
Problema cu câmpul OU este că autoritățile de certificare trebuie să verifice și să afirme identitatea subiectului certificatului în cadrul numelui subiectului certificatului. Domeniul OU, pe de altă parte, nu este o descriere exactă, deși este o parte mai mică a organizației. Autoritățile de certificare nu dispun de metode pentru a verifica în mod consecvent partea mai mică a organizației și pentru a-i confirma identitatea.
Viața după îndepărtarea câmpului OU
Așadar, cum va afecta companiile eliminarea câmpului OU? Iată tot ceea ce trebuie să știți despre această schimbare viitoare:
- Pentru a se conforma standardelor din industrie, autoritățile de certificare vor elimina câmpul Organizational Unit (OU) pentru toate certificatele SSL publice până la sfârșitul lunii august 2022.
- Această modificare nu va afecta certificatele emise anterior cu un câmp OU valabil.
- Acest lucru nu afectează certificatele SSL private sau alte tipuri de certificate non-SSL.
Concluzie
Tehnologia web evoluează într-un ritm amețitor și, odată cu ea, amenințările cibernetice devin tot mai sofisticate. În ceea ce privește criptarea web, organismele de reglementare trebuie să fie proactive și să anticipeze vulnerabilitățile din cadrul sistemelor pe care le reglementează.
Câmpul “Organizational Unit” nu este o parte esențială a procesului general de comandă SSL și, ca atare, devine o amenințare potențială. Eliminarea acesteia este o modalitate simplă de a evita confuzia și de a îmbunătăți timpul de validare.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10