A Chrome és a Firefox akár tönkre is teheti online vállalkozását

forrás: Prím Online, 2018. október 25. 15:06

A Chrome 70 és a Firefox 63 egyaránt vissza fogja utasítani a Symantec által hitelesített weboldal biztonsági tanúsítványokat. Ettől a hónaptól kezdve bárki, aki Chrome-ot vagy Firefoxot használ, a Symantec tanúsítványaival “védett” oldalaknál azt az egyértelmű figyelmeztetést fogja látni, mely szerint a honlap nem biztonságos: „Kapcsolata nem biztonságos. A … oldal tulajdonosa nem megfelelően konfigurálta a weboldalát. Adatai ellopásának megakadályozása érdekében a Firefox nem csatlakozott ehhez a weboldalhoz. [ ] Küldje el a hibajelzést, hogy segítse a Mozillát az ártalmas weboldalak felismerésében, illetve blokkolásában.”

A Sophos szakértői szerint egy ilyen üzenet esetén a weboldal látogatók többsége elhagyja az oldalt és a keresési találatokban szereplő következő oldallal folytatják a böngészést. 

 

Bármi, ami egy weboldallal kapcsolatban negatív dologra utalhat, elriaszthatja a leendő látogatókat, emiatt pedig a keresőmotorok is leértékelhetik a honlapját. Még egy figyelmeztetés is okozhatja ezt, ami konfigurációs hibára hívja fel a felhasználó figyelmét és nem kimondottan ártó tevékenységre.

 

A Symantec tanúsítványoknak már nem kellene használatban lennie. A Symantec eladta a biztonsági tanúsítvány ágazatát (amelyen belül számos jólismert branddel rendelkezett) 2017-ben egy Digicert nevű cégnek, aki a Symantec régi tanúsítványainak cseréjén dolgozik azóta is.

 

Bárki, akinek még nem járt le a Symantec biztonsági tanúsítványa, ingyen lecserélheti - ne halogassa a megújítást. Jelentős forgalmi visszaesésre számíthat, ha a cserét nem hajtja végre. A Mozilla azonban elhalasztotta ezt a lépést: még idén megtörténik, de egy későbbi időpontban.

 

A Mozilla nyilatkozatában ez állt: “Sajnálatos, hogy ennyi honlapfenntartó ilyen sokáig halogatta a biztonsági tanúsítványok frissítését, főleg úgy, hogy a DigiCert ingyen biztosítja a cserét.” Íme egy rövid áttekintés, hogy miért alakultak így az események:

 

A biztonsági tanúsítványok felelnek az S-ért a HTTPS-ben, és miattuk kerül a lakat jele a böngésző címsorába. HTTPS nélkül bárki klónozhatja bárki más honlapját: megkülönböztethetetlenné teheti az eredetitől, azonban csapdákat tehet bele, itt-ott valótlan tartalmat, a felhasználó pedig nehezen tudná meghatározni az eltéréseket. Ha viszont a honlap rendelkezik HTTPS-sel, a felhasználó böngészője kap egy biztonsági tanúsítványt, amely igazolja, hogy az adott honlap tulajdonosa és fenntartója valóban az a cég, akit a weboldal elvileg képvisel.

 

Bárki készíthet webes tanúsítványt és bármilyen tulajdonos-információt elhelyezhet benne. Ezt self-signed certificate-nek, “önmagával igazolt tanúsítványnak” nevezik: lényegében a kiállító önmagáért kezeskedik. Ha valaki úgy számol, hogy csupán három vagy négy ember fogja használni a weboldalát, egyenként biztosíthatja őket arról, hogy Ön készítette a biztonsági tanúsítványt - például személyes találkozóval -, ezzel megalapozva a bizalmat. 

 

Ez a megközelítés azonban nem működik, ha a célunk az, hogy több ezer vagy több százezer látogatót fogadjon a honlap az internet minden részéről, hiszen előzetesen nem érheti el mindegyikőjüket. Megoldásként kereshetünk egy CA-nak nevezett céget - ez a Certificate Authority, magyarul tanúsító hatóság kifejezés rövidítése -, aki jótállást vállal a honlapért úgy, hogy aláírja a biztonsági tanúsítványt a cég saját biztonsági tanúsítványát használva. Mielőtt a CA kezeskedne értünk, elvileg végre kellene hajtania egy alapvető ellenőrzést, amellyel megbizonyosodik arról, hogy valóban mi vagyunk a megbízott (és cselekvőképes) fenntartó, akinek a hitelesítő biztonsági tanúsítványt kiállítja.

 

Az alapvető CA ellenőrzések, mint például az ingyenes Let’s Encrypt CA-nál, arra korlátozódnak, hogy megbizonyosodjanak arról, be tud lépni az oldalra és képes azt adminisztrálni. Például az aláírás előtt a CA azt az utasítást adja, hogy adjon hozzá egy véletlenszerűen generált, előre nem meghatározható szövegrészletet egy új és specifikus névvel bíró oldalhoz a honlapján. Ha a releváns szöveg megjelenik a megfelelő helyen ésszerű időtartamon belül, a CA feltételezi, hogy mi teljes egészében hozzáférünk az oldalhoz és aláírja a biztonsági tanúsítványát. 

 

A drágább, EV-vel jelölt (Extended Valudation, “kiterjesztett hitelesítés”) biztonsági tanúsítványok esetében a tanúsító hatóság további ellenőrző lépéseket tesz meg, például utánanéz a cég regisztrációs adatainak, érvényesíti a megadott elérhetőségeket valós telefonhívásokkal vagy fizikailag aláírt dokumentumokat kér. Röviden: a CA-nak nem lenne szabad biztonsági tanúsítványokat aláírnia csak kérésre. 

 

 

Ki felel a CA-kért, a tanúsító hatóságokért?

Egy CA által aláírt biztonsági tanúsítvány nem elég. A böngészőnek egy olyan listára van szüksége, amely ismert és jó tanúsító hatóságokat tartalmaz, akiknek az aláírását megbízhatónak veszi a meglátogatni kívánt oldalak esetében. Így minden böngésző tartalmaz egy megbízható “root CA-kat” tartalmazó listát, akiknek a biztonsági tanúsítványait elfogadja. 

 

Néhány böngésző, mint például az Edge vagy a Safari az őket futtató operációs rendszer által biztosított listát használja. A Windowson vagy macOSen futó Chrome az operációs rendszerét, illetve saját módosított, a Google által nem megbízhatónak ítélt CA-kat visszautasító listájával dolgozik. A Firefox minden platformon, illetve a Linuxon futó Chrome is a Firefox által fenntartott megbízható CA-kat tartalmazó listájával működik.

 

Egyszerűsítve: Ön készít egy HTTPS biztonsági tanúsítvány, amellyel kezeskedik a saját honlapjáért; választ egy CA-t, aki jótáll a tanúsítványért; a böngésző pedig kezeskedik a CA-ért. Ezt hívják bizalmi láncnak és a böngésző (vagy az operációs rendszer tanúsítványtárolója) az, ahonnan indul. 

 

Mi történik, ha egy CA nem a szabályok szerint játszik?

Ha a CA elveszíti a közösség bizalmát, a közösség végső szankcióként törölheti a tanúsító hatóság saját tanúsítványait a megbízható “root” CA-k listájáról. Ritka ugyan, mivel a CA biztonsági tanúsítványainak böngészőkből való eltávolítása mellékhatásként azt eredményezi, hogy az általuk aláírt összes hitelesítőt hallgatólagosan visszautasítanak. Így minden weboldal, amely a CA által kiadott biztonsági tanúsítvány használja, nem megbízhatóvá válik. Ez fog történni a Symantec tanúsítványaival a Firefoxban és a Chrome-ban.

 

Miért most történik ez, ha a Symantec tavaly adta el a CA ágazatát?

A közösség bizalmatlansága a Symantec CA ágazatával szemben már hosszú ideje nőtt. A cég számos CA almárkát/sub-brandet szerzett meg (Thawte, GeoTrust és RapidSSL) és kivívta a közösség ellenszenvét azzal, hogy nem követte megfelelően a tevékenységet, amelyet az anyacég CA-ágazatának különböző részei végeztek. A Mozilla publikált egy listát az ismert problémákról, ami információdús olvasmányt biztosít mindenkinek, akit érdekel, hogy mit is kellene és mit nem kellene tennie egy tanúsító hatóságnak. Végül a Symantec eladta a CA ágazatát a DigiCertnek, a DigiCert pedig beleegyezett a meglévő Symantec tanúsítványok cseréjébe. Ezzel járulnak hozzá a tiszta újrakezdéshez. 

 

A Symantecről DigiCertre való átállás kapcsán hosszú időtartamban egyeztek meg. Valóban, számos Symantec tanúsítvány járt le ebben az időszakban, amelyek egyébként is megújításra szorultak. A Symantec és a DigiCert is világos, nyílt politikát folytatott a folyamattal kapcsolatban, amelyet a tanúsítványok tulajdonosainak követnie kell, ráadásul az új biztonsági tanúsítványokat ingyen biztosítják. Azonban az a honlaptulajdonosok egy apró, ám szignifikáns része még mindig nem ismerte fel, hogy a meglévő webes tanúsítványaik “vizuális kárhozatra” vannak ítélve a Chrome-ban és Firefoxban egyaránt ettől a hónaptól kezdve.

 

Mit kell tenni a Sophos szerint?

Ha olyan weboldalt futtat, ami a Symantec vagy bármelyik almárkájához tartozó (Thawte, GeoTrust vagy RapidSSL) biztonsági tanúsítványt használ, cserélje azt le azonnal! Ha nem újítja meg vagy cseréli a meglévő tanúsítványt, a következő hetekben látványos forgalomcsökkenésre kell számítania: az oldalára látogató felhasználók, akik egy váratlan biztonsági figyelmeztetésbe futnak bele, valószínűleg egy másik oldalon intézik majd el ügyeiket. Vásárolhat új tanúsítványt egy másik CA-tól, vagy felveheti a kapcsolatot a DigiCerttel is, akik megvették a Symantec CA ágazatát. Nagyon egyszerűen megoldható ez a probléma - nem lehet bonyolultabb vagy időigényesebb, mint megújítani a jogosítványát vagy könyvtári olvasókártyáját egy költözés után. 

 

A probléma figyelmen kívül hagyása drága következményekkel járhat, amennyiben a megrendeléseket és megbízásokat biztosító látogatók kapcsán a keresőre vagy más oldalak hivatkozásaira támaszkodik… és hát ki az, aki nem ezt teszi?

E-világ ROVAT TOVÁBBI HÍREI

Élje át a "Yes" Moment Élményt az electronica-n

Jubileumi évében, november 12-15. között a világ vezető elektronikai szakvásárán minden a „Minden elektromos társadalom” körül forog – ideális helyszín a Conrad Sourcing Platform lehetőségeinek megismerésére! A Conrad Electronic beszerzési platformként személyre szabott digitális megoldásokat kínál üzleti ügyfeleinek, hogy még hatékonyabbá tegye a beszerzést. Különösen, ha rövid időn belül nem tervezett műszaki igények fedezéséről van szó. 

2024. november 2. 13:31

Számos MI-t használó alkalmazással ismerkedhettek meg a résztvevők a Mobile Broadband Forum kiállításon

Már több mint három millió mesterséges intelligenciára képes alkalmazás készült világszerte, túlszárnyalva a hagyományos alkalmazások számát – derült ki a 2024-es Isztambulban megrendezett Global Mobile Broadband Forum (MBBF) során. 

2024. november 2. 11:54

Még két hétig jelentkezhetnek az IT hallgatók a K&H STEM ösztöndíjpályázatára

Meghosszabbítja két héttel STEM pályázatának leadási határidejét a K&H bank, hogy minél több egyetemi hallgató vehessen részt a kezdeményezésben. Az új határidő szerint november 17-én éjfélig fogadja a pénzintézet a pályamunkákat. A pályázatra – amelyben nyolc aktuális, innovatív téma közül választhatnak a jelentkezők – hazai IT képzést nyújtó egyetemek hallgatói jelentkezhetnek két kategóriában: mesterképzés és alapképzés. A nyerteseket szakmai zsűri választja ki, és akár 500.000 forint értékű díjazásban is részesülhetnek.

2024. november 2. 10:12

Szerződéses vállalások megsértése miatt bírságolt a Médiatanács

A román társhatósághoz fordult a Nemzeti Média- és Hírközlési Hatóság (NMHH) egy, a Mozi+ csatornán közvetített akciófilm korhatár-besorolásával kapcsolatban, mert a médiaszolgáltató által választott korhatári kategória és sugárzási időpont nem felelt meg a magyar követelményeknek. A Médiatanács október 29-i ülésén szerződéses vállalások megsértése miatt bírságolt, emellett állampolgári bejelentések nyomán vizsgált meg több műsorszámot.

2024. november 1. 15:31

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59