Google i Mozilla nie ufają certyfikatom Symantec-a

21 października, 2018
Chrome i Firefox blokują certyfikaty Symantec

Dwie najpopularniejsze przeglądarki będą oznaczać certyfikaty SSL firmy Symantec jako niezaufane. Skutki tej zmiany odczują właściciele stron i aplikacji, które zostaną potraktowane jako „niebezpieczne”. Symantec w opinii Google nie działał zgodnie z obowiązującymi standardami. Około 30 000 podpisów zostało wydanych błędnie, w tym dla domeny google.com. Sprawę opisują pracownicy Google.

Problem dotyczy certyfikatów wystawionych przed grudniem 2017 roku. Ciężko określić skalę problemu, ponieważ Symantec wydawał certyfikaty pod kilkoma nazwami. Według naszych danych z wyszukiwarki Shodan zaniepokojeni powinni być administratorzy ponad 280 certyfikatów w Polsce. Łącznie na świecie certyfikatów, które straciły zaufanie Chrome i Firefoxa jest ponad 470 000. To musi robić wrażenie.

Winowajcą jest sam Symantec, do niedawna lider rynku w branży certyfikatów. Jak informuje Google, Symantec nie działał zgodnie z przyjętymi standardami i autoryzował kilka innych firm w weryfikacji SSL-ów. Sama weryfikacja to niezbędny element wydania certyfikatu SSL, a zwłaszcza typu EV (Extended Validation), czyli tego, który zawiera przed przedrostkiem HTTPS nazwę podmiotu. Z tego typu rozszerzonego certyfikatu często korzystają banki, aby uwiarygodnić źródło strony.

Administratorom zaleca się natychmiastową wymianę certyfikatów na nowe. W innym przypadku komunikaty przeglądarek o niebezpiecznych zasobach nie będą zachęcały do odwiedzin.

FIrefox blokuje certyfikaty SymantecChrome blokuje certyfikaty Symantec

Jeśli nie chcemy przepłacać za certyfikat, możemy skorzystać z Let’s Encrypt, który oferuje darmowe certyfikaty na 90 dni. Po tym czasie należy je odnowić, co nie jest zbyt praktyczne. Liderami w branży jest DigiCert (firma odkupiła od Symantec dział certyfikacji) lub Comodo.

Można odnieść wrażenie, że internetowi giganci (np. Facebook, Twitter, Microsoft, Apple, Amazon itd.) już “tradycyjnie” korzystają z zabezpieczeń DigiCert, a i Comodo na brak klientów też nie narzeka — również jako jedna z największych firm w branży bezpieczeństwa.

Decyzja Mozilli i Google nie zaskakuje. Te korporacje (co ciekawe, wszystkie wraz z Symantec mają siedzibę w Mountain View) przekonują, że bezpieczeństwo jest dla nich kwestią priorytetową. Decyzja Mozilli  jest zupełnie naturalna — przeglądarka i klient poczty są polecane na stronie privacytools.io. Z kolei Google w opinii niektórych czytelników nie do końca jest postrzegane jako firma, która dba o prywatność. Jednak w tej sprawie podjęte działania są jak najbardziej słuszne.

Chrome już od wersji 70 zaczęło oznaczać certyfikaty Symantec-a jako niebezpieczne. Przeglądarka Firefox zrobi to już 23 października, wtedy zostanie wydana stabilna wersja 63.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
4 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]