A Chrome és a Firefox akár tönkre is teheti online vállalkozását

forrás: Prím Online, 2018. október 25. 15:06

A Chrome 70 és a Firefox 63 egyaránt vissza fogja utasítani a Symantec által hitelesített weboldal biztonsági tanúsítványokat. Ettől a hónaptól kezdve bárki, aki Chrome-ot vagy Firefoxot használ, a Symantec tanúsítványaival “védett” oldalaknál azt az egyértelmű figyelmeztetést fogja látni, mely szerint a honlap nem biztonságos: „Kapcsolata nem biztonságos. A … oldal tulajdonosa nem megfelelően konfigurálta a weboldalát. Adatai ellopásának megakadályozása érdekében a Firefox nem csatlakozott ehhez a weboldalhoz. [ ] Küldje el a hibajelzést, hogy segítse a Mozillát az ártalmas weboldalak felismerésében, illetve blokkolásában.”

A Sophos szakértői szerint egy ilyen üzenet esetén a weboldal látogatók többsége elhagyja az oldalt és a keresési találatokban szereplő következő oldallal folytatják a böngészést. 

 

Bármi, ami egy weboldallal kapcsolatban negatív dologra utalhat, elriaszthatja a leendő látogatókat, emiatt pedig a keresőmotorok is leértékelhetik a honlapját. Még egy figyelmeztetés is okozhatja ezt, ami konfigurációs hibára hívja fel a felhasználó figyelmét és nem kimondottan ártó tevékenységre.

 

A Symantec tanúsítványoknak már nem kellene használatban lennie. A Symantec eladta a biztonsági tanúsítvány ágazatát (amelyen belül számos jólismert branddel rendelkezett) 2017-ben egy Digicert nevű cégnek, aki a Symantec régi tanúsítványainak cseréjén dolgozik azóta is.

 

Bárki, akinek még nem járt le a Symantec biztonsági tanúsítványa, ingyen lecserélheti - ne halogassa a megújítást. Jelentős forgalmi visszaesésre számíthat, ha a cserét nem hajtja végre. A Mozilla azonban elhalasztotta ezt a lépést: még idén megtörténik, de egy későbbi időpontban.

 

A Mozilla nyilatkozatában ez állt: “Sajnálatos, hogy ennyi honlapfenntartó ilyen sokáig halogatta a biztonsági tanúsítványok frissítését, főleg úgy, hogy a DigiCert ingyen biztosítja a cserét.” Íme egy rövid áttekintés, hogy miért alakultak így az események:

 

A biztonsági tanúsítványok felelnek az S-ért a HTTPS-ben, és miattuk kerül a lakat jele a böngésző címsorába. HTTPS nélkül bárki klónozhatja bárki más honlapját: megkülönböztethetetlenné teheti az eredetitől, azonban csapdákat tehet bele, itt-ott valótlan tartalmat, a felhasználó pedig nehezen tudná meghatározni az eltéréseket. Ha viszont a honlap rendelkezik HTTPS-sel, a felhasználó böngészője kap egy biztonsági tanúsítványt, amely igazolja, hogy az adott honlap tulajdonosa és fenntartója valóban az a cég, akit a weboldal elvileg képvisel.

 

Bárki készíthet webes tanúsítványt és bármilyen tulajdonos-információt elhelyezhet benne. Ezt self-signed certificate-nek, “önmagával igazolt tanúsítványnak” nevezik: lényegében a kiállító önmagáért kezeskedik. Ha valaki úgy számol, hogy csupán három vagy négy ember fogja használni a weboldalát, egyenként biztosíthatja őket arról, hogy Ön készítette a biztonsági tanúsítványt - például személyes találkozóval -, ezzel megalapozva a bizalmat. 

 

Ez a megközelítés azonban nem működik, ha a célunk az, hogy több ezer vagy több százezer látogatót fogadjon a honlap az internet minden részéről, hiszen előzetesen nem érheti el mindegyikőjüket. Megoldásként kereshetünk egy CA-nak nevezett céget - ez a Certificate Authority, magyarul tanúsító hatóság kifejezés rövidítése -, aki jótállást vállal a honlapért úgy, hogy aláírja a biztonsági tanúsítványt a cég saját biztonsági tanúsítványát használva. Mielőtt a CA kezeskedne értünk, elvileg végre kellene hajtania egy alapvető ellenőrzést, amellyel megbizonyosodik arról, hogy valóban mi vagyunk a megbízott (és cselekvőképes) fenntartó, akinek a hitelesítő biztonsági tanúsítványt kiállítja.

 

Az alapvető CA ellenőrzések, mint például az ingyenes Let’s Encrypt CA-nál, arra korlátozódnak, hogy megbizonyosodjanak arról, be tud lépni az oldalra és képes azt adminisztrálni. Például az aláírás előtt a CA azt az utasítást adja, hogy adjon hozzá egy véletlenszerűen generált, előre nem meghatározható szövegrészletet egy új és specifikus névvel bíró oldalhoz a honlapján. Ha a releváns szöveg megjelenik a megfelelő helyen ésszerű időtartamon belül, a CA feltételezi, hogy mi teljes egészében hozzáférünk az oldalhoz és aláírja a biztonsági tanúsítványát. 

 

A drágább, EV-vel jelölt (Extended Valudation, “kiterjesztett hitelesítés”) biztonsági tanúsítványok esetében a tanúsító hatóság további ellenőrző lépéseket tesz meg, például utánanéz a cég regisztrációs adatainak, érvényesíti a megadott elérhetőségeket valós telefonhívásokkal vagy fizikailag aláírt dokumentumokat kér. Röviden: a CA-nak nem lenne szabad biztonsági tanúsítványokat aláírnia csak kérésre. 

 

 

Ki felel a CA-kért, a tanúsító hatóságokért?

Egy CA által aláírt biztonsági tanúsítvány nem elég. A böngészőnek egy olyan listára van szüksége, amely ismert és jó tanúsító hatóságokat tartalmaz, akiknek az aláírását megbízhatónak veszi a meglátogatni kívánt oldalak esetében. Így minden böngésző tartalmaz egy megbízható “root CA-kat” tartalmazó listát, akiknek a biztonsági tanúsítványait elfogadja. 

 

Néhány böngésző, mint például az Edge vagy a Safari az őket futtató operációs rendszer által biztosított listát használja. A Windowson vagy macOSen futó Chrome az operációs rendszerét, illetve saját módosított, a Google által nem megbízhatónak ítélt CA-kat visszautasító listájával dolgozik. A Firefox minden platformon, illetve a Linuxon futó Chrome is a Firefox által fenntartott megbízható CA-kat tartalmazó listájával működik.

 

Egyszerűsítve: Ön készít egy HTTPS biztonsági tanúsítvány, amellyel kezeskedik a saját honlapjáért; választ egy CA-t, aki jótáll a tanúsítványért; a böngésző pedig kezeskedik a CA-ért. Ezt hívják bizalmi láncnak és a böngésző (vagy az operációs rendszer tanúsítványtárolója) az, ahonnan indul. 

 

Mi történik, ha egy CA nem a szabályok szerint játszik?

Ha a CA elveszíti a közösség bizalmát, a közösség végső szankcióként törölheti a tanúsító hatóság saját tanúsítványait a megbízható “root” CA-k listájáról. Ritka ugyan, mivel a CA biztonsági tanúsítványainak böngészőkből való eltávolítása mellékhatásként azt eredményezi, hogy az általuk aláírt összes hitelesítőt hallgatólagosan visszautasítanak. Így minden weboldal, amely a CA által kiadott biztonsági tanúsítvány használja, nem megbízhatóvá válik. Ez fog történni a Symantec tanúsítványaival a Firefoxban és a Chrome-ban.

 

Miért most történik ez, ha a Symantec tavaly adta el a CA ágazatát?

A közösség bizalmatlansága a Symantec CA ágazatával szemben már hosszú ideje nőtt. A cég számos CA almárkát/sub-brandet szerzett meg (Thawte, GeoTrust és RapidSSL) és kivívta a közösség ellenszenvét azzal, hogy nem követte megfelelően a tevékenységet, amelyet az anyacég CA-ágazatának különböző részei végeztek. A Mozilla publikált egy listát az ismert problémákról, ami információdús olvasmányt biztosít mindenkinek, akit érdekel, hogy mit is kellene és mit nem kellene tennie egy tanúsító hatóságnak. Végül a Symantec eladta a CA ágazatát a DigiCertnek, a DigiCert pedig beleegyezett a meglévő Symantec tanúsítványok cseréjébe. Ezzel járulnak hozzá a tiszta újrakezdéshez. 

 

A Symantecről DigiCertre való átállás kapcsán hosszú időtartamban egyeztek meg. Valóban, számos Symantec tanúsítvány járt le ebben az időszakban, amelyek egyébként is megújításra szorultak. A Symantec és a DigiCert is világos, nyílt politikát folytatott a folyamattal kapcsolatban, amelyet a tanúsítványok tulajdonosainak követnie kell, ráadásul az új biztonsági tanúsítványokat ingyen biztosítják. Azonban az a honlaptulajdonosok egy apró, ám szignifikáns része még mindig nem ismerte fel, hogy a meglévő webes tanúsítványaik “vizuális kárhozatra” vannak ítélve a Chrome-ban és Firefoxban egyaránt ettől a hónaptól kezdve.

 

Mit kell tenni a Sophos szerint?

Ha olyan weboldalt futtat, ami a Symantec vagy bármelyik almárkájához tartozó (Thawte, GeoTrust vagy RapidSSL) biztonsági tanúsítványt használ, cserélje azt le azonnal! Ha nem újítja meg vagy cseréli a meglévő tanúsítványt, a következő hetekben látványos forgalomcsökkenésre kell számítania: az oldalára látogató felhasználók, akik egy váratlan biztonsági figyelmeztetésbe futnak bele, valószínűleg egy másik oldalon intézik majd el ügyeiket. Vásárolhat új tanúsítványt egy másik CA-tól, vagy felveheti a kapcsolatot a DigiCerttel is, akik megvették a Symantec CA ágazatát. Nagyon egyszerűen megoldható ez a probléma - nem lehet bonyolultabb vagy időigényesebb, mint megújítani a jogosítványát vagy könyvtári olvasókártyáját egy költözés után. 

 

A probléma figyelmen kívül hagyása drága következményekkel járhat, amennyiben a megrendeléseket és megbízásokat biztosító látogatók kapcsán a keresőre vagy más oldalak hivatkozásaira támaszkodik… és hát ki az, aki nem ezt teszi?

E-világ ROVAT TOVÁBBI HÍREI

A digitális bankolás jövője: személyre szabott ügyfélélmény és új generációs technológiák

A Deloitte legfrissebb, Digital Banking Maturity 2024 kutatásának eredményeiből kiderül, hogy a COVID-19 járvány idején elindult digitalizációs folyamatok nemhogy nem lassultak, hanem új lendületet kaptak a bankszektorban az elmúlt évek során, alkalmazkodva az ügyfelek folyamatosan bővülő igényeihez. A fejlesztések fókuszában a funkciók mennyisége helyett, egyre inkább a személyre szabottság, az ügyfélélmény fokozása és a költséghatékonyság kapott hangsúlyt. Emellett a korábban elhanyagolt területek, például a digitális jelzálog is előtérbe kerültek.

2024. november 21. 17:59

OMV: 2025 végéig országszerte elérhető lesz az ultragyors töltőhálózat

Országszerte 15 helyszínen már igénybe vehetőek az OMV új gyorstöltői. A társaság még idén megduplázza ultragyors töltéssel üzemelő töltőállomásai számát, 2025 végéig pedig közel 50 helyszínen összesen 80 villámtöltő pont működik majd az országban. A töltők legalább 100 kW teljesítmény leadására képesek, ami később több helyszínen akár a 200 kW-ot is elérheti, a hálózati kapacitás függvényében.  Az OMV saját applikációt is fejlesztett a töltőkhöz, amiben most különleges akciókkal várja az autósokat.

2024. november 21. 16:35

Nemzetközi szintre lép a karbonlábnyom-csökkentő magyar startup

Balogh Petya és az általa fémjelzett STRT Holding Nyrt., valamint két másik befektető látott fantáziát a digitális marketing tevékenységek, így a weboldalak és e-mail kampányok karbonlábnyomának csökkentésére specializálódott Carbon.Crane-ben. A világszinten naponta küldött 350 milliárd e-mail* és a 200 millió aktívan üzemelő weboldal** – a háttérben dolgozó szerverparkok miatt – egyre nagyobb, ráadásul egyre növekvő részét teszi ki a globális karbonkibocsátásnak, erre dolgozott ki egyedi megoldásokat a 100%-ban magyar tulajdonú és hazai alapítású startup. Az egyedi és innovatív szolgáltatásokat nemzetközi szinten is értékeli a szakma, amit legutóbb a MediaSpace Global Changemakers' Awards 2024 díjával ismert el.

2024. november 21. 14:56

Izgalmas versenyek a T-esport Bajnokságon

Százezer euró – ennyi volt az összdíjazása a Deutsche Telekom hétvégén lezárult e-sport bajnokságának, a T-esport Bajnokságnak. Az online eseményeken és a Budapesten, a Telekom PlayIT Show keretében megrendezett döntőben a legjobb Counter-Strike 2, League of Legends, Brawl Stars és EA Sports FC 24 játékosok mérték össze a tudásukat, köztük két magyar versenyző is. 

2024. november 21. 13:12

Újabb kutatás cáfolja az AI-félelmeket

A Unisys friss kutatása szerint mind az alkalmazottak, mind a munkáltatók pozitívnak ítélik meg a mesterséges intelligencia (AI) munkahelyi hatását. A Magyarországon több mint 700 szakembert foglalkoztató vállalat négy országban elvégzett felmérése azt mutatja, hogy az AI alkalmazása növelheti a dolgozói elégedettséget, és segítheti a gyorsabb karrierépítést, míg a vállalatvezetők szerint versenyképességüket veszélyezteti, ha nem építik be a technológiát a működésükbe.

2024. november 21. 11:39

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01