Cyber companion blog

Gratis sertifikater med ACME - For godt til å være sant eller et kinderegg for sikkerhet?

Ove Sveumshagen -

Sertifikater er fundamentalt for all trafikk på internet. Kryptering av kommunikasjonen mellom kundens browser til nettbank er nødvendig for å kunne sikre konfidensialitet og integritet på data som sendes og mottas. Uten sertifikater kunne vi ikke benyttet oss av nettbank eller andre tjenester der penger overføres eller persondata utveksles.

ACME står for Automated Certificate Management Environment. Standarden er mest knyttet til Let's Encrypt, som var de første til å ta tjenesten i bruk og kunne tilby gratis sertifikater til alle.

Det er mange sertifikatleverandører som vil at kundene skal bruke betalbare sertifikater, med påstand om at det gir bedre beskyttelse for brukerne og høyere tillit til websiden. Det var lenge slik at websider hadde en grønn adresselinje i browseren dersom det ble benyttet et betalt sertifikat. Dette har forsøk tilbakevist, med den begrunnelse av at vi mennesker ikke reagerer på positive sikkerhetsindikatorer. Vi reagerer derimot på negative sikkerhetsindikatorer, slik som advarsler fra browseren osv, ref. https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev-to-page-info.md

Basert på denne informasjonen kan vi si at det ikke gir noen økt sikkerhet for brukeren i å benytte et betalt sertifikat. Da kan vi benytte et enkelt sertifikat som gjør like god jobb i å sikre informasjonen mellom browseren og nettsiden. De mest kjente leverandørene er Let's Encrypt, Norske BuyPass Go og ZeroSSL. Disse tilbyr gratis Domain Validation (DV) sertifikater for alle. Levetiden er mellom 90-180 dager før sertifikatet går ut på dato. Sertifikatet kan fornyes automatisk ved å benytte ACME klient som selv vil sørge for å fornye sertifikatet i god tid før det går ut.

Den store motivasjonen for å benytte ACME der det er mulig er automatisjon. Dette reduserer kompleksiteten betydelig, da en manuell prosess ved sertifikatutstedelse er kompleks og tidkrevende med mange roller og tilganger involvert. Det tar lett mange timer eller noen dager å utføre dette. Med ACME tar samme prosess sekunder.

Lenker:

https://letsencrypt.org/
https://www.buypass.com/products/tls-ssl-certificates/go-ssl
https://zerossl.com/