Penyalahgunaan Sertifikat SSL karena Bug Software
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Kelemahan (bug) perangkat lunak dan salah memahami standar industri merupakan jantung dari sebagian besar kasus sertifikat SSL.
Penelitian, yang ditulis oleh tim dari Sekolah Informatika dan Komputasi di Indiana University Bloomington, mengamati 379 contoh sertifikat SSL yang salah dari total lebih dari 1.300 insiden yang diketahui.
Akademisi mengumpulkan data insiden dari sumber publik seperti pelacak Bugzilla Mozilla dan forum diskusi Grup Google untuk tim keamanan browser Firefox dan Chrome.
Tujuan dari penelitian ini adalah untuk melihat bagaimana Certificate Authorities (CAs) mematuhi standar industri dan apa penyebab paling umum di balik sertifikat SSL yang salah, demikian seperti dikutip dari ZDNet, Senin (14 Oktober 2019).
CA adalah organisasi yang menjual atau menyediakan sertifikat SSL gratis. Sertifikat SSL ini kemudian digunakan untuk mengenkripsi komunikasi antara klien dan server dalam bentuk koneksi HTTPS.
Aktivitas CA diatur oleh Forum CA/B, grup industri yang terdiri dari peramban dan pembuat sistem operasi dan CA sendiri.
Forum CA/B menerbitkan dan memperbarui pedoman industri yang menentukan cara yang benar untuk mengeluarkan sertifikat SSL. Selama bertahun-tahun, CA telah beberapa kali salah langkah dalam mengeluarkan sertifikat tanpa mematuhi aturan ini.
Ada kasus di mana CA telah mengeluarkan sertifikat SSL yang telah digunakan untuk melakukan serangan man-in-the-middle (MitM) dan mencegat lalu lintas HTTPS.
Selain itu, ada juga telah digunakan untuk operasi malware atau CA mengeluarkan sertifikat tanpa mengikuti prosedur standar karena kesalahan manusia, kecelakaan, atau untuk memotong biaya dan meningkatkan laba.
CA juga telah diamati backdating sertifikat SSL untuk menghindari jadwal penghentian, menerbitkan sertifikat SSL tanpa memverifikasi bahwa pembeli adalah orang / perusahaan yang sah, atau mengeluarkan sertifikat SSL yang telah menggunakan algoritme yang lemah atau tidak patuh.
Namun, menurut tim di Indiana University Bloomington, sebagian besar insiden sertifikat SSL yang dikeluarkan secara salah disebabkan oleh bug perangkat lunak.
Dari 379 kasus yang mereka analisis, 91 kasus disebabkan oleh bug perangkat lunak di salah satu platform perangkat lunak CA, yang mengakibatkan pelanggan menerima sertifikat SSL yang tidak sesuai.
Penyebab paling umum kedua adalah CA salah memahami aturan Forum CA/B atau CA tidak menyadari bahwa aturan telah berubah. Ini menyumbang 69 kasus dari semua insiden sertifikat SSL yang salah.
Penyebab paling umum lain adalah kesalahan manusia dengan 37 kasus (10 persen dari total).
Berdasarkan data yang dihimpun oleh para peneliti, CA paling bermasalah yang paling atas adalah perusahaan seperti StartCom, WoSign, DigiCert, PROCERT, Comodo (sekarang Sectigo), Quo Vadis, VISA, GoDaddy, Certum, Camerfirma, dan SwissSign.
