A Chrome és a Firefox akár tönkre is teheti online vállalkozását

forrás: Prím Online, 2018. október 25. 15:06

A Chrome 70 és a Firefox 63 egyaránt vissza fogja utasítani a Symantec által hitelesített weboldal biztonsági tanúsítványokat. Ettől a hónaptól kezdve bárki, aki Chrome-ot vagy Firefoxot használ, a Symantec tanúsítványaival “védett” oldalaknál azt az egyértelmű figyelmeztetést fogja látni, mely szerint a honlap nem biztonságos: „Kapcsolata nem biztonságos. A … oldal tulajdonosa nem megfelelően konfigurálta a weboldalát. Adatai ellopásának megakadályozása érdekében a Firefox nem csatlakozott ehhez a weboldalhoz. [ ] Küldje el a hibajelzést, hogy segítse a Mozillát az ártalmas weboldalak felismerésében, illetve blokkolásában.”

A Sophos szakértői szerint egy ilyen üzenet esetén a weboldal látogatók többsége elhagyja az oldalt és a keresési találatokban szereplő következő oldallal folytatják a böngészést. 

 

Bármi, ami egy weboldallal kapcsolatban negatív dologra utalhat, elriaszthatja a leendő látogatókat, emiatt pedig a keresőmotorok is leértékelhetik a honlapját. Még egy figyelmeztetés is okozhatja ezt, ami konfigurációs hibára hívja fel a felhasználó figyelmét és nem kimondottan ártó tevékenységre.

 

A Symantec tanúsítványoknak már nem kellene használatban lennie. A Symantec eladta a biztonsági tanúsítvány ágazatát (amelyen belül számos jólismert branddel rendelkezett) 2017-ben egy Digicert nevű cégnek, aki a Symantec régi tanúsítványainak cseréjén dolgozik azóta is.

 

Bárki, akinek még nem járt le a Symantec biztonsági tanúsítványa, ingyen lecserélheti - ne halogassa a megújítást. Jelentős forgalmi visszaesésre számíthat, ha a cserét nem hajtja végre. A Mozilla azonban elhalasztotta ezt a lépést: még idén megtörténik, de egy későbbi időpontban.

 

A Mozilla nyilatkozatában ez állt: “Sajnálatos, hogy ennyi honlapfenntartó ilyen sokáig halogatta a biztonsági tanúsítványok frissítését, főleg úgy, hogy a DigiCert ingyen biztosítja a cserét.” Íme egy rövid áttekintés, hogy miért alakultak így az események:

 

A biztonsági tanúsítványok felelnek az S-ért a HTTPS-ben, és miattuk kerül a lakat jele a böngésző címsorába. HTTPS nélkül bárki klónozhatja bárki más honlapját: megkülönböztethetetlenné teheti az eredetitől, azonban csapdákat tehet bele, itt-ott valótlan tartalmat, a felhasználó pedig nehezen tudná meghatározni az eltéréseket. Ha viszont a honlap rendelkezik HTTPS-sel, a felhasználó böngészője kap egy biztonsági tanúsítványt, amely igazolja, hogy az adott honlap tulajdonosa és fenntartója valóban az a cég, akit a weboldal elvileg képvisel.

 

Bárki készíthet webes tanúsítványt és bármilyen tulajdonos-információt elhelyezhet benne. Ezt self-signed certificate-nek, “önmagával igazolt tanúsítványnak” nevezik: lényegében a kiállító önmagáért kezeskedik. Ha valaki úgy számol, hogy csupán három vagy négy ember fogja használni a weboldalát, egyenként biztosíthatja őket arról, hogy Ön készítette a biztonsági tanúsítványt - például személyes találkozóval -, ezzel megalapozva a bizalmat. 

 

Ez a megközelítés azonban nem működik, ha a célunk az, hogy több ezer vagy több százezer látogatót fogadjon a honlap az internet minden részéről, hiszen előzetesen nem érheti el mindegyikőjüket. Megoldásként kereshetünk egy CA-nak nevezett céget - ez a Certificate Authority, magyarul tanúsító hatóság kifejezés rövidítése -, aki jótállást vállal a honlapért úgy, hogy aláírja a biztonsági tanúsítványt a cég saját biztonsági tanúsítványát használva. Mielőtt a CA kezeskedne értünk, elvileg végre kellene hajtania egy alapvető ellenőrzést, amellyel megbizonyosodik arról, hogy valóban mi vagyunk a megbízott (és cselekvőképes) fenntartó, akinek a hitelesítő biztonsági tanúsítványt kiállítja.

 

Az alapvető CA ellenőrzések, mint például az ingyenes Let’s Encrypt CA-nál, arra korlátozódnak, hogy megbizonyosodjanak arról, be tud lépni az oldalra és képes azt adminisztrálni. Például az aláírás előtt a CA azt az utasítást adja, hogy adjon hozzá egy véletlenszerűen generált, előre nem meghatározható szövegrészletet egy új és specifikus névvel bíró oldalhoz a honlapján. Ha a releváns szöveg megjelenik a megfelelő helyen ésszerű időtartamon belül, a CA feltételezi, hogy mi teljes egészében hozzáférünk az oldalhoz és aláírja a biztonsági tanúsítványát. 

 

A drágább, EV-vel jelölt (Extended Valudation, “kiterjesztett hitelesítés”) biztonsági tanúsítványok esetében a tanúsító hatóság további ellenőrző lépéseket tesz meg, például utánanéz a cég regisztrációs adatainak, érvényesíti a megadott elérhetőségeket valós telefonhívásokkal vagy fizikailag aláírt dokumentumokat kér. Röviden: a CA-nak nem lenne szabad biztonsági tanúsítványokat aláírnia csak kérésre. 

 

 

Ki felel a CA-kért, a tanúsító hatóságokért?

Egy CA által aláírt biztonsági tanúsítvány nem elég. A böngészőnek egy olyan listára van szüksége, amely ismert és jó tanúsító hatóságokat tartalmaz, akiknek az aláírását megbízhatónak veszi a meglátogatni kívánt oldalak esetében. Így minden böngésző tartalmaz egy megbízható “root CA-kat” tartalmazó listát, akiknek a biztonsági tanúsítványait elfogadja. 

 

Néhány böngésző, mint például az Edge vagy a Safari az őket futtató operációs rendszer által biztosított listát használja. A Windowson vagy macOSen futó Chrome az operációs rendszerét, illetve saját módosított, a Google által nem megbízhatónak ítélt CA-kat visszautasító listájával dolgozik. A Firefox minden platformon, illetve a Linuxon futó Chrome is a Firefox által fenntartott megbízható CA-kat tartalmazó listájával működik.

 

Egyszerűsítve: Ön készít egy HTTPS biztonsági tanúsítvány, amellyel kezeskedik a saját honlapjáért; választ egy CA-t, aki jótáll a tanúsítványért; a böngésző pedig kezeskedik a CA-ért. Ezt hívják bizalmi láncnak és a böngésző (vagy az operációs rendszer tanúsítványtárolója) az, ahonnan indul. 

 

Mi történik, ha egy CA nem a szabályok szerint játszik?

Ha a CA elveszíti a közösség bizalmát, a közösség végső szankcióként törölheti a tanúsító hatóság saját tanúsítványait a megbízható “root” CA-k listájáról. Ritka ugyan, mivel a CA biztonsági tanúsítványainak böngészőkből való eltávolítása mellékhatásként azt eredményezi, hogy az általuk aláírt összes hitelesítőt hallgatólagosan visszautasítanak. Így minden weboldal, amely a CA által kiadott biztonsági tanúsítvány használja, nem megbízhatóvá válik. Ez fog történni a Symantec tanúsítványaival a Firefoxban és a Chrome-ban.

 

Miért most történik ez, ha a Symantec tavaly adta el a CA ágazatát?

A közösség bizalmatlansága a Symantec CA ágazatával szemben már hosszú ideje nőtt. A cég számos CA almárkát/sub-brandet szerzett meg (Thawte, GeoTrust és RapidSSL) és kivívta a közösség ellenszenvét azzal, hogy nem követte megfelelően a tevékenységet, amelyet az anyacég CA-ágazatának különböző részei végeztek. A Mozilla publikált egy listát az ismert problémákról, ami információdús olvasmányt biztosít mindenkinek, akit érdekel, hogy mit is kellene és mit nem kellene tennie egy tanúsító hatóságnak. Végül a Symantec eladta a CA ágazatát a DigiCertnek, a DigiCert pedig beleegyezett a meglévő Symantec tanúsítványok cseréjébe. Ezzel járulnak hozzá a tiszta újrakezdéshez. 

 

A Symantecről DigiCertre való átállás kapcsán hosszú időtartamban egyeztek meg. Valóban, számos Symantec tanúsítvány járt le ebben az időszakban, amelyek egyébként is megújításra szorultak. A Symantec és a DigiCert is világos, nyílt politikát folytatott a folyamattal kapcsolatban, amelyet a tanúsítványok tulajdonosainak követnie kell, ráadásul az új biztonsági tanúsítványokat ingyen biztosítják. Azonban az a honlaptulajdonosok egy apró, ám szignifikáns része még mindig nem ismerte fel, hogy a meglévő webes tanúsítványaik “vizuális kárhozatra” vannak ítélve a Chrome-ban és Firefoxban egyaránt ettől a hónaptól kezdve.

 

Mit kell tenni a Sophos szerint?

Ha olyan weboldalt futtat, ami a Symantec vagy bármelyik almárkájához tartozó (Thawte, GeoTrust vagy RapidSSL) biztonsági tanúsítványt használ, cserélje azt le azonnal! Ha nem újítja meg vagy cseréli a meglévő tanúsítványt, a következő hetekben látványos forgalomcsökkenésre kell számítania: az oldalára látogató felhasználók, akik egy váratlan biztonsági figyelmeztetésbe futnak bele, valószínűleg egy másik oldalon intézik majd el ügyeiket. Vásárolhat új tanúsítványt egy másik CA-tól, vagy felveheti a kapcsolatot a DigiCerttel is, akik megvették a Symantec CA ágazatát. Nagyon egyszerűen megoldható ez a probléma - nem lehet bonyolultabb vagy időigényesebb, mint megújítani a jogosítványát vagy könyvtári olvasókártyáját egy költözés után. 

 

A probléma figyelmen kívül hagyása drága következményekkel járhat, amennyiben a megrendeléseket és megbízásokat biztosító látogatók kapcsán a keresőre vagy más oldalak hivatkozásaira támaszkodik… és hát ki az, aki nem ezt teszi?

E-világ ROVAT TOVÁBBI HÍREI

A Philips Monitors E1 terméksorozat három új, többcélú modellel bővül

A Philips Monitors E1 sorozata ebben a hónapban három új modellel bővül. Az irodai felhasználók és távmunkában dolgozók számára szükséges összes alapvető funkcióval ellátott új modellek segítenek a felhasználóknak a kapcsolattartásban és növelik a termelékenységüket, mindezt versenyképes áron. 

2024. március 28. 13:27

Országszerte elérhetővé válik a Netrevalók program

A Netrevalók program sikeres tavalyi indulása után idén az Informatikai és Könyvtári Szövetséggel kötött megállapodással országos szintűvé válik a kezdeményezés, és 27 fővárosi könyvtár mellett 48 vidéki intézmény is csatlakozik a programhoz. Így összesen már 45 településen lesz elérhető a generációk digitális edukálását célzó program. A digitális infrastruktúra fejlesztése érdekében a Magyar Telekom a Fővárosi Szabó Ervin Könyvtár és az Informatikai és Könyvtári Szövetség részére 100- 100 darab monitort adományoz a programban résztvevő könyvtárak számára.

2024. március 28. 11:50

Tabudöntögető témákat feszegetnek a diákok a Megoldások a holnapért programban

Kiválasztották a Samsung és az EdisonKids által meghirdetett Megoldások a holnapért kihívás legjobb 50 diákcsapatát. A fenntarthatóság, a jövő oktatása és a közösség hívószavára összesen 120 jövőformáló és kreatív pályázat érkezett az ország számos pontjáról. A továbbjutók új készségekkel és ismeretekkel gazdagodhatnak a Megoldások a holnapért speciális tanulási platformján, hogy újszerű megoldást dolgozhassanak ki az általuk felvetett problémára. Az oktatási anyagok összeállításában, a diákok tervezői gondolkodásának elmélyítésében idén ismét kulcspartner a Cellux Csoport. A csapatokat támogató tanárok mentorálásában a Hősök Tere Alapítvány ad szakmai segítséget.

2024. március 28. 10:01

Még szélesebb körben elérhetők a Galaxy AI funkciók a One UI 6.1 frissítéssel

Még több Galaxy felhasználó léphet be a mobil AI új korszakába: a One UI 6.1 frissítéssel korábbi készülékeken is elérhetővé válnak a Galaxy AI funkciók március 28-tól. A Galaxy S23 széria, az S23 FE, a Z Fold5 és a Z Flip5 készülékek, valamint a Tab S9 termékcsalád tagjain is elérhetők lesznek azok a lehetőségek, melyeket az idén bemutatott Galaxy S24 széria felhasználói már kipróbálhattak.

2024. március 27. 19:13

A telefonálástól a nagyképernyős streamelésig – így alakította át az életünket 3 évtized alatt a mobiltechnológia

1994. március 26-án, 30 évvel ezelőtt indította a Yettel az első kereskedelmi GSM szolgáltatást Magyarországon, akkor még Pannon GSM néven. Nem csak a márka, a mobiltechnológia is számos újításon ment keresztül a három évtized alatt. Az akkoriban még csak hangszolgáltatást nyújtó méregdrága belépési díjtól indulva mára korlátlan hang- és adatcsomagok, szélsebes mobilinternet érhető el megfizethető áron, mind mobilon, mind az otthonokban, mobilhálózati alapokon. 30 év fejlődése, aminek mára a lakosság és az üzleti felhasználók is a nyertesei lettek.

2024. március 27. 16:55

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Megvannak az IAB 2023-as Legjobb szakdolgozat pályázatának nyertesei

2024. március 25. 15:50

A 2024-es év fordulópont lehet az IT munkaerőpiacon?

2024. március 20. 10:09

Nők az informatikában – Számít a nemek aránya a munkahelyen?

2024. március 12. 20:53

Szemünk előtt zajlik az e-kereskedelem mohácsi csatája

2024. március 6. 13:05