A Chrome és a Firefox akár tönkre is teheti online vállalkozását
A Chrome 70 és a Firefox 63 egyaránt vissza fogja utasítani a Symantec által hitelesített weboldal biztonsági tanúsítványokat. Ettől a hónaptól kezdve bárki, aki Chrome-ot vagy Firefoxot használ, a Symantec tanúsítványaival “védett” oldalaknál azt az egyértelmű figyelmeztetést fogja látni, mely szerint a honlap nem biztonságos: „Kapcsolata nem biztonságos. A … oldal tulajdonosa nem megfelelően konfigurálta a weboldalát. Adatai ellopásának megakadályozása érdekében a Firefox nem csatlakozott ehhez a weboldalhoz. [ ] Küldje el a hibajelzést, hogy segítse a Mozillát az ártalmas weboldalak felismerésében, illetve blokkolásában.”
A Sophos szakértői szerint egy ilyen üzenet esetén a weboldal látogatók többsége elhagyja az oldalt és a keresési találatokban szereplő következő oldallal folytatják a böngészést.
Bármi, ami egy weboldallal kapcsolatban negatív dologra utalhat, elriaszthatja a leendő látogatókat, emiatt pedig a keresőmotorok is leértékelhetik a honlapját. Még egy figyelmeztetés is okozhatja ezt, ami konfigurációs hibára hívja fel a felhasználó figyelmét és nem kimondottan ártó tevékenységre.
A Symantec tanúsítványoknak már nem kellene használatban lennie. A Symantec eladta a biztonsági tanúsítvány ágazatát (amelyen belül számos jólismert branddel rendelkezett) 2017-ben egy Digicert nevű cégnek, aki a Symantec régi tanúsítványainak cseréjén dolgozik azóta is.
Bárki, akinek még nem járt le a Symantec biztonsági tanúsítványa, ingyen lecserélheti - ne halogassa a megújítást. Jelentős forgalmi visszaesésre számíthat, ha a cserét nem hajtja végre. A Mozilla azonban elhalasztotta ezt a lépést: még idén megtörténik, de egy későbbi időpontban.
A Mozilla nyilatkozatában ez állt: “Sajnálatos, hogy ennyi honlapfenntartó ilyen sokáig halogatta a biztonsági tanúsítványok frissítését, főleg úgy, hogy a DigiCert ingyen biztosítja a cserét.” Íme egy rövid áttekintés, hogy miért alakultak így az események:
A biztonsági tanúsítványok felelnek az S-ért a HTTPS-ben, és miattuk kerül a lakat jele a böngésző címsorába. HTTPS nélkül bárki klónozhatja bárki más honlapját: megkülönböztethetetlenné teheti az eredetitől, azonban csapdákat tehet bele, itt-ott valótlan tartalmat, a felhasználó pedig nehezen tudná meghatározni az eltéréseket. Ha viszont a honlap rendelkezik HTTPS-sel, a felhasználó böngészője kap egy biztonsági tanúsítványt, amely igazolja, hogy az adott honlap tulajdonosa és fenntartója valóban az a cég, akit a weboldal elvileg képvisel.
Bárki készíthet webes tanúsítványt és bármilyen tulajdonos-információt elhelyezhet benne. Ezt self-signed certificate-nek, “önmagával igazolt tanúsítványnak” nevezik: lényegében a kiállító önmagáért kezeskedik. Ha valaki úgy számol, hogy csupán három vagy négy ember fogja használni a weboldalát, egyenként biztosíthatja őket arról, hogy Ön készítette a biztonsági tanúsítványt - például személyes találkozóval -, ezzel megalapozva a bizalmat.
Ez a megközelítés azonban nem működik, ha a célunk az, hogy több ezer vagy több százezer látogatót fogadjon a honlap az internet minden részéről, hiszen előzetesen nem érheti el mindegyikőjüket. Megoldásként kereshetünk egy CA-nak nevezett céget - ez a Certificate Authority, magyarul tanúsító hatóság kifejezés rövidítése -, aki jótállást vállal a honlapért úgy, hogy aláírja a biztonsági tanúsítványt a cég saját biztonsági tanúsítványát használva. Mielőtt a CA kezeskedne értünk, elvileg végre kellene hajtania egy alapvető ellenőrzést, amellyel megbizonyosodik arról, hogy valóban mi vagyunk a megbízott (és cselekvőképes) fenntartó, akinek a hitelesítő biztonsági tanúsítványt kiállítja.
Az alapvető CA ellenőrzések, mint például az ingyenes Let’s Encrypt CA-nál, arra korlátozódnak, hogy megbizonyosodjanak arról, be tud lépni az oldalra és képes azt adminisztrálni. Például az aláírás előtt a CA azt az utasítást adja, hogy adjon hozzá egy véletlenszerűen generált, előre nem meghatározható szövegrészletet egy új és specifikus névvel bíró oldalhoz a honlapján. Ha a releváns szöveg megjelenik a megfelelő helyen ésszerű időtartamon belül, a CA feltételezi, hogy mi teljes egészében hozzáférünk az oldalhoz és aláírja a biztonsági tanúsítványát.
A drágább, EV-vel jelölt (Extended Valudation, “kiterjesztett hitelesítés”) biztonsági tanúsítványok esetében a tanúsító hatóság további ellenőrző lépéseket tesz meg, például utánanéz a cég regisztrációs adatainak, érvényesíti a megadott elérhetőségeket valós telefonhívásokkal vagy fizikailag aláírt dokumentumokat kér. Röviden: a CA-nak nem lenne szabad biztonsági tanúsítványokat aláírnia csak kérésre.
Ki felel a CA-kért, a tanúsító hatóságokért?
Egy CA által aláírt biztonsági tanúsítvány nem elég. A böngészőnek egy olyan listára van szüksége, amely ismert és jó tanúsító hatóságokat tartalmaz, akiknek az aláírását megbízhatónak veszi a meglátogatni kívánt oldalak esetében. Így minden böngésző tartalmaz egy megbízható “root CA-kat” tartalmazó listát, akiknek a biztonsági tanúsítványait elfogadja.
Néhány böngésző, mint például az Edge vagy a Safari az őket futtató operációs rendszer által biztosított listát használja. A Windowson vagy macOSen futó Chrome az operációs rendszerét, illetve saját módosított, a Google által nem megbízhatónak ítélt CA-kat visszautasító listájával dolgozik. A Firefox minden platformon, illetve a Linuxon futó Chrome is a Firefox által fenntartott megbízható CA-kat tartalmazó listájával működik.
Egyszerűsítve: Ön készít egy HTTPS biztonsági tanúsítvány, amellyel kezeskedik a saját honlapjáért; választ egy CA-t, aki jótáll a tanúsítványért; a böngésző pedig kezeskedik a CA-ért. Ezt hívják bizalmi láncnak és a böngésző (vagy az operációs rendszer tanúsítványtárolója) az, ahonnan indul.
Mi történik, ha egy CA nem a szabályok szerint játszik?
Ha a CA elveszíti a közösség bizalmát, a közösség végső szankcióként törölheti a tanúsító hatóság saját tanúsítványait a megbízható “root” CA-k listájáról. Ritka ugyan, mivel a CA biztonsági tanúsítványainak böngészőkből való eltávolítása mellékhatásként azt eredményezi, hogy az általuk aláírt összes hitelesítőt hallgatólagosan visszautasítanak. Így minden weboldal, amely a CA által kiadott biztonsági tanúsítvány használja, nem megbízhatóvá válik. Ez fog történni a Symantec tanúsítványaival a Firefoxban és a Chrome-ban.
Miért most történik ez, ha a Symantec tavaly adta el a CA ágazatát?
A közösség bizalmatlansága a Symantec CA ágazatával szemben már hosszú ideje nőtt. A cég számos CA almárkát/sub-brandet szerzett meg (Thawte, GeoTrust és RapidSSL) és kivívta a közösség ellenszenvét azzal, hogy nem követte megfelelően a tevékenységet, amelyet az anyacég CA-ágazatának különböző részei végeztek. A Mozilla publikált egy listát az ismert problémákról, ami információdús olvasmányt biztosít mindenkinek, akit érdekel, hogy mit is kellene és mit nem kellene tennie egy tanúsító hatóságnak. Végül a Symantec eladta a CA ágazatát a DigiCertnek, a DigiCert pedig beleegyezett a meglévő Symantec tanúsítványok cseréjébe. Ezzel járulnak hozzá a tiszta újrakezdéshez.
A Symantecről DigiCertre való átállás kapcsán hosszú időtartamban egyeztek meg. Valóban, számos Symantec tanúsítvány járt le ebben az időszakban, amelyek egyébként is megújításra szorultak. A Symantec és a DigiCert is világos, nyílt politikát folytatott a folyamattal kapcsolatban, amelyet a tanúsítványok tulajdonosainak követnie kell, ráadásul az új biztonsági tanúsítványokat ingyen biztosítják. Azonban az a honlaptulajdonosok egy apró, ám szignifikáns része még mindig nem ismerte fel, hogy a meglévő webes tanúsítványaik “vizuális kárhozatra” vannak ítélve a Chrome-ban és Firefoxban egyaránt ettől a hónaptól kezdve.
Mit kell tenni a Sophos szerint?
Ha olyan weboldalt futtat, ami a Symantec vagy bármelyik almárkájához tartozó (Thawte, GeoTrust vagy RapidSSL) biztonsági tanúsítványt használ, cserélje azt le azonnal! Ha nem újítja meg vagy cseréli a meglévő tanúsítványt, a következő hetekben látványos forgalomcsökkenésre kell számítania: az oldalára látogató felhasználók, akik egy váratlan biztonsági figyelmeztetésbe futnak bele, valószínűleg egy másik oldalon intézik majd el ügyeiket. Vásárolhat új tanúsítványt egy másik CA-tól, vagy felveheti a kapcsolatot a DigiCerttel is, akik megvették a Symantec CA ágazatát. Nagyon egyszerűen megoldható ez a probléma - nem lehet bonyolultabb vagy időigényesebb, mint megújítani a jogosítványát vagy könyvtári olvasókártyáját egy költözés után.
A probléma figyelmen kívül hagyása drága következményekkel járhat, amennyiben a megrendeléseket és megbízásokat biztosító látogatók kapcsán a keresőre vagy más oldalak hivatkozásaira támaszkodik… és hát ki az, aki nem ezt teszi?
Kapcsolódó cikkek
- Symantec: egyre nagyobb veszélyben az Apple rendszerei
- SamSam: hatmillió dolláros zsarolóvírus
- A “WannaCrypt” zsarolóvírus előre kéri a fizetséget!
- Az IT biztonság és a futball közelebb állnak, mint amennyire látszik
- Adathalász bővítményt találtak a Chrome-ban
- Veszélyben a vállalatok az ismeretlen alkalmazások miatt
- 5 jele annak, hogy robottal beszélgetünk
- Elégtelen a védelmünk kiberfenyegetéssel szemben
- Magyarország a veszélyeztetett országok egyike
- Halloweeni kísértet járja át otthonunkat?
E-világ ROVAT TOVÁBBI HÍREI
A Sony bejelenti második generációs zászlóshajóját, az Alpha 1 II fényképezőgépet
A Sony bemutatja a második generációs Alpha 1 II zászlóshajóját, egy új full frame, tükör nélküli, cserélhető objektíves fényképezőgépet, amelyet a Sony legmodernebb AI feldolgozóegységével működik. A fényképezőgép körülbelül 50.1 megapixel (MP) effektív felbontású érzékelővel rendelkezik, akár 30 fps sebességgel, AF/AE-követéssel képes elsötétedésmentes sorozatfelvételt készíteni, torzításmentes zárral van ellátva, és továbbfejlesztette a képtisztaságot a közép- és magastónusok érzékenységénél.
Az új Sony objektív nagy felbontást, gyönyörű bokeh-t és fejlett autofókuszt kínál
A Sony bejelentésével új utat tör: az FE 28-70mm F2 GM prémium E-bajonettes objektív a teljes zoomtartományban nagy, F2-es rekesznyílással büszkélkedhet, így gyönyörű bokeh-t, nagy felbontást és egyedülálló autofókuszt biztosít állóképekhez és videófelvételekhez, nem beszélve a prímobjektívek minőségével vetekedő élességről és kontrasztról.
A digitális bankolás jövője: személyre szabott ügyfélélmény és új generációs technológiák
A Deloitte legfrissebb, Digital Banking Maturity 2024 kutatásának eredményeiből kiderül, hogy a COVID-19 járvány idején elindult digitalizációs folyamatok nemhogy nem lassultak, hanem új lendületet kaptak a bankszektorban az elmúlt évek során, alkalmazkodva az ügyfelek folyamatosan bővülő igényeihez. A fejlesztések fókuszában a funkciók mennyisége helyett, egyre inkább a személyre szabottság, az ügyfélélmény fokozása és a költséghatékonyság kapott hangsúlyt. Emellett a korábban elhanyagolt területek, például a digitális jelzálog is előtérbe kerültek.
OMV: 2025 végéig országszerte elérhető lesz az ultragyors töltőhálózat
Országszerte 15 helyszínen már igénybe vehetőek az OMV új gyorstöltői. A társaság még idén megduplázza ultragyors töltéssel üzemelő töltőállomásai számát, 2025 végéig pedig közel 50 helyszínen összesen 80 villámtöltő pont működik majd az országban. A töltők legalább 100 kW teljesítmény leadására képesek, ami később több helyszínen akár a 200 kW-ot is elérheti, a hálózati kapacitás függvényében. Az OMV saját applikációt is fejlesztett a töltőkhöz, amiben most különleges akciókkal várja az autósokat.
Nemzetközi szintre lép a karbonlábnyom-csökkentő magyar startup
Balogh Petya és az általa fémjelzett STRT Holding Nyrt., valamint két másik befektető látott fantáziát a digitális marketing tevékenységek, így a weboldalak és e-mail kampányok karbonlábnyomának csökkentésére specializálódott Carbon.Crane-ben. A világszinten naponta küldött 350 milliárd e-mail* és a 200 millió aktívan üzemelő weboldal** – a háttérben dolgozó szerverparkok miatt – egyre nagyobb, ráadásul egyre növekvő részét teszi ki a globális karbonkibocsátásnak, erre dolgozott ki egyedi megoldásokat a 100%-ban magyar tulajdonú és hazai alapítású startup. Az egyedi és innovatív szolgáltatásokat nemzetközi szinten is értékeli a szakma, amit legutóbb a MediaSpace Global Changemakers' Awards 2024 díjával ismert el.