1.Chứng chỉ TLS của Nga phải đối mặt với các cuộc tấn công chặn Lưu lượng truy cập và MitM!
Trong bối cảnh cuộc xâm lược Ukraine hiện nay, Cơ quan cấp chứng chỉ TLS trong nước của Nga đã vượt qua các lệnh trừng phạt của phương Tây, việc thay thế, thu hồi và sửa chữa các chứng chỉ hết hạn sẽ đối mặt với một mối đe dọa an ninh đáng kể.
Nhiều trang web của Nga không thể gia hạn chứng chỉ của họ do các hạn chế áp dụng đối với thanh toán nước ngoài. Các trình duyệt đã chặn quyền truy cập vào các trang web sử dụng cơ quan ký kết quốc tế.
Do đó, nhà nước Nga đã tích cực ra mắt cơ quan cấp chứng chỉ TLS trong nước (CA) để giúp các trang web phát hành và gia hạn chứng chỉ TLS của họ một cách dễ dàng.
Nhưng đây là điểm cần lưu ý, rủi ro của các chứng chỉ TLS do Nga sở hữu và cấp bao gồm chặn lưu lượng truy cập và các cuộc tấn công lớn từ người trung gian (MitM).
2. CA nội địa của Nga để thay thế, thu hồi hoặc gia hạn các chứng chỉ nước ngoài đã hết hạn
Chứng chỉ TLS mã hóa dữ liệu được gửi giữa các trình duyệt, trang web và máy chủ. Chúng còn được gọi là chứng chỉ SSL hoặc chứng chỉ số.Do chứng chỉ hết hạn, các trình duyệt như Chrome, Safari và Firefox sẽ cảnh báo người dùng rằng trang có thể không an toàn, điều này có thể khiến người dùng bỏ đi.
Do các hạn chế áp đặt, các trang web đang gặp khó khăn trong việc gia hạn chứng chỉ TLS của họ. Vì vậy, theo một thông báo dịch vụ công của Nga, nhà nước hứa hẹn sẽ thay thế các chứng chỉ an ninh nước ngoài đang bị thu hồi hoặc đã hết hạn hoàn toàn miễn phí theo yêu cầu.
Những gã khổng lồ về duyệt web như Chrome và Firefox vẫn chưa công nhận những chứng chỉ do nhà nước cung cấp này là đáng tin cậy. Tuy nhiên, các phương tiện truyền thông Nga đã đưa ra danh sách 200 tên miền được yêu cầu sử dụng chứng chỉ TLS trong nước, mặc dù nó chưa phải là bắt buộc.
3. Chứng chỉ TLS do Nga cấp phải đối mặt với các mối đe dọa bảo mật
Mike Parkin, nhà nghiên cứu và kỹ sư kỹ thuật cao cấp tại Vulcan Cyber, nói với CSO: “Với việc các cơ quan cấp chứng chỉ lớn thu hồi hoặc đơn giản là không gia hạn chứng chỉ cho các doanh nghiệp Nga, họ sẽ rơi vào tình thế khó khăn.
Ông cũng nhấn mạnh sự không có khả năng xảy ra của các trình duyệt lớn từng chấp nhận CA Nga mới. Đây cũng có thể là vấn đề đối với nhiều người dùng Nga.
Nhiều người sẽ phải tiếp tục dựa vào CA của họ vì họ bị chính phủ trừng phạt. Ngoài ra, họ không nổi tiếng về việc tôn trọng quyền riêng tư của người dùng hoặc có lập trường mạnh mẽ chống lại tội phạm mạng.
Tốt nhất, nếu bạn không thể tin tưởng CA của mình, thì bạn cũng không thể tin tưởng các chứng chỉ được ủy quyền của họ. Điều này là do chúng có thể được sử dụng trong một cuộc tấn công MitM.
Yuval Wollman, chủ tịch của CyberProof và là cựu tổng giám đốc của Bộ Tình báo Israel đã thốt lên rằng nếu muốn giảm thiểu rủi ro, họ phải giữ cho nhân viên của mình tránh xa bất kỳ chứng chỉ TLS nào do Nga cấp. Các câu hỏi đã được đặt ra về tính hợp pháp và sự kiểm soát không chắc chắn của chúng.
Ông khuyên nên chặn truy cập vào các trang web sử dụng chứng chỉ TLS do Nga cấp như vậy bằng danh sách đen cho đến khi tình hình có thể được đánh giá lại.