A lakat, amin nem gondolsz: a webbiztonság rejtett geopolitikai kockázatai
A web biztonságának csendes kockázata: Let's Encrypt és a hatalmi koncentráció
Ha a böngésződ címsorában megjelenik a kis lakat ikon, tudod, hogy az adott oldal biztonságos. De elgondolkodtál már azon, hogy ki áll valójában a háttérben?
A forradalom, amit senki sem várt
2014-ben jelent meg a Let's Encrypt, és teljesen felforgatta a HTTPS tanúsítványok piacát. Korábban egy tanúsítvány beszerzése horror volt: bonyolult ellenőrzési folyamatok, jelentős költségek (gyakran több száz dollár évente), és manuális megújítás. Kis fejlesztőknek és startupoknak ez komoly akadályt jelentett a biztonságos web megjelenésben.
A Let's Encrypt csapata aztán teljesen átírta a szabályokat. Automatizálták a teljes tanúsítvány életciklust, és eltörölték a díjakat. Ma percek alatt elindíthatsz egy biztonságos weboldalt anélkül, hogy egy fillért is költenél tanúsítványokra. Ez valóban lenyűgöző demokratizálás.
Az 52%-os probléma
De itt jön a kellemetlen rész. A Cloudflare átláthatósági adatai szerint a Let's Encrypt adja ki az összes webes tanúsítvány több mint felét. Egyes felhasználók arról számolnak be, hogy a naponta látogatott oldalaik csaknem fele Let's Encrypt tanúsítványra támaszkodik.
Ez a koncentráció aggodalomra ad okot, különösen a Let's Encrypt nemrég bevezetett frissítése után: a szolgáltatási feltételekben most már kifejezetten szerepel az amerikai szankciók betartása. Ez azt jelenti, hogy az USA által szankcionált entitások – egyének, szervezetek vagy akár egész országok – nem kaphatnak tanúsítványt a Let's Encrypt-től.
Miért kellene ez nekünk?
Lehet, hogy úgy gondolod: "Nem vagyok szankcionálva, szóval ez engem nem érint." Érthető álláspont. De a nagyobb kép ettől még fontos.
Amikor egyetlen szervezet, egyetlen ország joghatósága alatt van a webes biztonsági infrastruktúra nagy része, lényegében geostratégiai szűk keresztmetszetet hozol létre. A böngésződben látható lakat – ami a bizalmat, biztonságot és titkosított kommunikációt jelképezi – egyetlen ország törvényeinek betartásától függ.
Fejlesztőként, akik globális termékeket építenek, ez kettős kockázat: technikai függőség és geopolitikai kockázat egyben. Mi történik, ha a megfelelőségi követelmények bővülnek? Mi van, ha más joghatóságok is hasonló ellenőrzéseket követelnek meg? Lényegében kritikus internetes infrastruktúrát bíztunk egyetlen kormány külpolitikai döntéseire.
Merre tovább?
Ez nem jelenti azt, hogy a Let's Encrypt gonosz, vagy hogy el kellene hagynod a HTTPS-t. A szolgáltatás továbbra is értékes, és a mögötte álló csapat óriási munkát végzett a web biztonságosabbá tételében.
De az tudatosság számít. A diverzifikáció számít. A tanúsítványkiadó ökoszisztémának egészséges versenyre és földrajzi megoszlásra van szüksége. Olyan szervezetek, mint a Cloudflare, a Google Trust Services és regionális kiadók fontos szerepet játszanak, de egyik sem érte el a Let's Encrypt méretét.
Ha globális közönségnek tervezel rendszereket, gondolkodj el azon, mely kiadók adják ki a tanúsítványaidat. Dokumentáld a függőségeket. Legyen B terved. A böngésződben látható lakat apró dolognak tűnhet, de valós politikai következményekkel járó infrastruktúrára épül.
A web biztonságának nem szabad egyetlen kontrollponttól függenie – legyen az cég, kormány vagy NGO. Mi, akik az internetet építjük, felelősséget viselünk azért, hogy kritikusan gondolkodjunk ezekről a függőségekről, még akkor is, ha a megszokott zöld lakat kényelmesen néz ki.
Van véleményed a tanúsítványkiadók centralizációjáról? Oszd meg velünk!