1. Mã hóa miễn phí không bảo mật keys và chứng chỉ của bạn
Khi Amazon ACM phát hành chứng chỉ, các keys riêng tương ứng sẽ được lưu trữ trên đám mây. Một tổ chức phải chịu rủi ro lớn bất cứ lúc nào nó lưu trữ keys cá nhân ở bất kỳ đâu ngoài mô-đun bảo mật phần cứng (HSM). Rủi ro này tăng lên khi keys được lưu trữ ngày càng xa cơ sở của tổ chức, vì vậy việc có một keys riêng trên đám mây sẽ dẫn đến tất cả các loại rủi ro. Bằng cách làm như vậy, tổ chức tin tưởng bất kỳ ai phát hành và lưu trữ các keys riêng tư của mình, để đảm bảo rằng chỉ tổ chức của bạn mới có quyền truy cập vào nó.
Bảo mật keys trên đám mây chính xác là điều mà các tác nhân độc hại (tức là những kẻ tấn công và nhân viên bất mãn) hy vọng một tổ chức sẽ làm, bởi vì nó làm cho các keys dễ bị đánh cắp hơn nhiều .
Một khi keys bị xâm phạm, kẻ độc hại sẽ chiếm thế thượng phong và sau đó có thể bán nó trên Darknet hoặc sử dụng nó để mã hóa và ẩn hành động của chúng trong mạng của tổ chức.
Càng nhiều chứng chỉ miễn phí được phát hành, tính bảo mật của Internet càng trở nên yếu đi. Khi các keys và chứng chỉ bị xâm phạm thường xuyên hơn, các tác nhân độc hại sẽ ngày càng sử dụng các điểm mù bảo mật mà mã hóa đáng tin cậy cung cấp, ngụy trang cho các cuộc tấn công của chúng.
2. Amazon ACM không bảo mật mã hóa
Lợi ích của việc giảm độ phức tạp của việc mã hóa các dịch vụ Amazon AWS là rất lớn, nhưng nó phải trả giá bằng bảo mật. Tất cả các keys và chứng chỉ do ACM cấp đều được lưu trữ trong đám mây Amazon AWS, điều này giúp việc phát hành và quản lý chứng chỉ trên đám mây dễ dàng hơn, nhưng điều này cũng gây ra rủi ro đáng kể.
Các keys và chứng chỉ bị làm giả sẽ cung cấp trojan, mã độc hại được mã hóa để hoạt động ẩn.
Rủi ro lớn khác là nếu Amazon CA bị tấn công, không có cách nào nhanh chóng để thu hồi các keys và chứng chỉ bị xâm phạm. Ngoài ra, không có cách nào để tự động chuyển đổi dự phòng sang CA phụ theo khuyến nghị của NIST . Nói tóm lại, Amazon ACM không cung cấp bất kỳ bảo mật nào cho các keys và chứng chỉ mà nó phát hành: nó chỉ đơn giản là làm giảm sự phức tạp của việc quản lý chúng.
Mục tiêu của Amazon ACM không phải là bảo mật các chứng chỉ, cũng không phải để cạnh tranh với các CA hiện có. Amazon ACM chỉ đơn giản là muốn tăng tính nhanh nhạy bằng cách giúp việc thu thập và triển khai mã hóa lên đám mây AWS trở nên dễ dàng hơn.
Ví dụ: ACM không cho phép người dùng của mình hiển thị các chứng chỉ do bất kỳ CA nào khác cấp, .
Với tất cả các keys và chứng chỉ được lưu trữ trong đám mây AWS, điều này cung cấp cho các virus độc hại một cơ hội tốt. Tuy nhiên, không nói rằng các doanh nghiệp không nên sử dụng Amazon ACM; vì các doanh nghiệp dựa vào AWS để có tài nguyên đám mây CNTT linh hoạt, nhanh chóng, nên điều quan trọng là họ có thể nhanh chóng mã hóa và bảo mật các giao dịch của mình. Tuy nhiên, họ cần hiểu rằng chỉ sử dụng ACM không cung cấp đủ bảo mật cho các keys và chứng chỉ của họ, khiến họ có nguy cơ bị sử dụng sai keys và chứng chỉ để vi phạm và thỏa hiệp.
Như các chuyên gia chứng chỉ đã quan sát , chỉ còn là vấn đề thời gian trước khi thấy tội phạm mạng sử dụng các chứng chỉ AWS miễn phí này để ẩn trong lưu lượng truy cập được mã hóa, che giấu bản thân để không bị chú ý trong khi chúng ăn cắp dữ liệu. Cuối cùng, mặc dù chứng chỉ AWS có thể tốt cho việc xây dựng các ứng dụng nhanh, nhưng chúng không thể cung cấp bảo mật cấp doanh nghiệp thực sự.