Dwie najpopularniejsze przeglądarki będą oznaczać certyfikaty SSL firmy Symantec jako niezaufane. Skutki tej zmiany odczują właściciele stron i aplikacji, które zostaną potraktowane jako „niebezpieczne”. Symantec w opinii Google nie działał zgodnie z obowiązującymi standardami. Około 30 000 podpisów zostało wydanych błędnie, w tym dla domeny google.com. Sprawę opisują pracownicy Google.

Problem dotyczy certyfikatów wystawionych przed grudniem 2017 roku. Ciężko określić skalę problemu, ponieważ Symantec wydawał certyfikaty pod kilkoma nazwami. Według naszych danych z wyszukiwarki Shodan zaniepokojeni powinni być administratorzy ponad 280 certyfikatów w Polsce. Łącznie na świecie certyfikatów, które straciły zaufanie Chrome i Firefoxa jest ponad 470 000. To musi robić wrażenie.

Winowajcą jest sam Symantec, do niedawna lider rynku w branży certyfikatów. Jak informuje Google, Symantec nie działał zgodnie z przyjętymi standardami i autoryzował kilka innych firm w weryfikacji SSL-ów. Sama weryfikacja to niezbędny element wydania certyfikatu SSL, a zwłaszcza typu EV (Extended Validation), czyli tego, który zawiera przed przedrostkiem HTTPS nazwę podmiotu. Z tego typu rozszerzonego certyfikatu często korzystają banki, aby uwiarygodnić źródło strony.

Administratorom zaleca się natychmiastową wymianę certyfikatów na nowe. W innym przypadku komunikaty przeglądarek o niebezpiecznych zasobach nie będą zachęcały do odwiedzin.

FIrefox blokuje certyfikaty Symantec
Komunikat po wejściu na stronę z certyfikatem Symantec w przeglądarce Mozilla Firefox.
Chrome blokuje certyfikaty Symantec
To nie wygląda dobrze. Google od dawno przywiązuje wagę do bezpiecznego połączenia. W wyszukiwarce strony z SSL zajmują wyższe pozycje.

Jeśli nie chcemy przepłacać za certyfikat, możemy skorzystać z Let’s Encrypt, który oferuje darmowe certyfikaty na 90 dni. Po tym czasie należy je odnowić, co nie jest zbyt praktyczne. Liderami w branży jest DigiCert (firma odkupiła od Symantec dział certyfikacji) lub Comodo.

Można odnieść wrażenie, że internetowi giganci (np. Facebook, Twitter, Microsoft, Apple, Amazon itd.) już “tradycyjnie” korzystają z zabezpieczeń DigiCert, a i Comodo na brak klientów też nie narzeka — również jako jedna z największych firm w branży bezpieczeństwa.

Decyzja Mozilli i Google nie zaskakuje. Te korporacje (co ciekawe, wszystkie wraz z Symantec mają siedzibę w Mountain View) przekonują, że bezpieczeństwo jest dla nich kwestią priorytetową. Decyzja Mozilli  jest zupełnie naturalna — przeglądarka i klient poczty są polecane na stronie privacytools.io. Z kolei Google w opinii niektórych czytelników nie do końca jest postrzegane jako firma, która dba o prywatność. Jednak w tej sprawie podjęte działania są jak najbardziej słuszne.

Chrome już od wersji 70 zaczęło oznaczać certyfikaty Symantec-a jako niebezpieczne. Przeglądarka Firefox zrobi to już 23 października, wtedy zostanie wydana stabilna wersja 63.

AUTOR:Michał Giza
Podziel się

Komentarze

aro wt., 23-10-2018 - 21:00

A mój Firefox łącznie z Kasperskym wywala takie komunikaty od pewnego czasu dla m.in. Facebooka...

Michal Giza czw., 25-10-2018 - 20:53

Prawdopodobnie wynika to z przestarzałego oprogramowania, zwłaszcza systemu operacyjnego

Dodane przez aro w odpowiedzi na

aro pt., 26-10-2018 - 12:55

Jasne. Kaspersky to najnowsza dostępna wersja, przeglądarka też. A system się zestarzał, tak nagle, 2 tygodnie temu, tak? Mimo że również jest aktualizowany na bieżąco.

Dodane przez Michal Giza w odpowiedzi na

Michal Giza pt., 26-10-2018 - 15:53

Jaki to system? Problem nie występuje w Windows 10.

Być może inny program zainstalował własny certyfikat i przeszkadza to Kasperskiemu

Dodane przez aro w odpowiedzi na

Dodaj komentarz