A kérdés bővebben

Tekinthető-e biztonságosnak az önaláírt tanúsítvány annak az ismeretében, hogy a USA kormányhivatalokkal kapcsolatos botrány kapcsán szóba került, hogy egyes hitelesítést végző szervezetek kompromittálódhattak?

Válasz

Egyértelműen nem-mel kell válaszolnom.

Egyrészt, amíg nem bizonyosodik be, hogy ilyesmi előfordult, addig meg kell bíznunk a hitelesítés-szolgáltatókban.

Másrészt, nagyon sok, nem USA kötődésű hitelesítés-szolgáltató van, akiknek a tanúsítványláncában nincs felsőbb szintű, USA kötődésű hitelesítő szervezet.
Magyarországon ilyen tevékenységet Pl. a NetLock Kft. végez, és Európa-, valamint világszerte is több száz. Ezért nem is tartom valószínűnek, hogy az amerikai hitelesítést végző szervezetek érintettek lennének az ügyben.

Ellenben az önaláírt tanúsítvánnyal komoly problémák vannak.

Először is az, hogy a böngészőkben ez többnyire egy figyelmeztető jelzéssel kezdődik, amit gépiesen elfogad a felhasználók többsége, mert tudja, hogy a tanúsítvány önaláírt, és csak így tud továbblépni. És itt a baj, ugyanis nem nézi meg, hogy a tanúsítvány mikor, és ki által lett készítve, ezért fel sem fog neki tűnni soha, hogy a tanúsítványt esetleg kicserélik, vagy meghamisítják.

Önaláírt tanúsítvány használata kizárólag olyan szervezetek esetében ajánlott, ahol saját PKI infrastruktúra, és biztonségi házirend van érvényben, melynek következtében a szervezet saját minősített tanúsítványait központilag telepítik minden munkaállomásra és eszközre, így az nem jelez hibát, továbbá a felhasználóknak lehetősége sincs arra, hogyegy tanúsítványhibát megkerülve kommunikálni tudjon olyan távoli szerverekkel, ahol a hitelesítés nem biztonságos.