A Chrome és a Firefox akár tönkre is teheti online vállalkozását

forrás: Prím Online, 2018. október 25. 15:06

A Chrome 70 és a Firefox 63 egyaránt vissza fogja utasítani a Symantec által hitelesített weboldal biztonsági tanúsítványokat. Ettől a hónaptól kezdve bárki, aki Chrome-ot vagy Firefoxot használ, a Symantec tanúsítványaival “védett” oldalaknál azt az egyértelmű figyelmeztetést fogja látni, mely szerint a honlap nem biztonságos: „Kapcsolata nem biztonságos. A … oldal tulajdonosa nem megfelelően konfigurálta a weboldalát. Adatai ellopásának megakadályozása érdekében a Firefox nem csatlakozott ehhez a weboldalhoz. [ ] Küldje el a hibajelzést, hogy segítse a Mozillát az ártalmas weboldalak felismerésében, illetve blokkolásában.”

A Sophos szakértői szerint egy ilyen üzenet esetén a weboldal látogatók többsége elhagyja az oldalt és a keresési találatokban szereplő következő oldallal folytatják a böngészést. 

 

Bármi, ami egy weboldallal kapcsolatban negatív dologra utalhat, elriaszthatja a leendő látogatókat, emiatt pedig a keresőmotorok is leértékelhetik a honlapját. Még egy figyelmeztetés is okozhatja ezt, ami konfigurációs hibára hívja fel a felhasználó figyelmét és nem kimondottan ártó tevékenységre.

 

A Symantec tanúsítványoknak már nem kellene használatban lennie. A Symantec eladta a biztonsági tanúsítvány ágazatát (amelyen belül számos jólismert branddel rendelkezett) 2017-ben egy Digicert nevű cégnek, aki a Symantec régi tanúsítványainak cseréjén dolgozik azóta is.

 

Bárki, akinek még nem járt le a Symantec biztonsági tanúsítványa, ingyen lecserélheti - ne halogassa a megújítást. Jelentős forgalmi visszaesésre számíthat, ha a cserét nem hajtja végre. A Mozilla azonban elhalasztotta ezt a lépést: még idén megtörténik, de egy későbbi időpontban.

 

A Mozilla nyilatkozatában ez állt: “Sajnálatos, hogy ennyi honlapfenntartó ilyen sokáig halogatta a biztonsági tanúsítványok frissítését, főleg úgy, hogy a DigiCert ingyen biztosítja a cserét.” Íme egy rövid áttekintés, hogy miért alakultak így az események:

 

A biztonsági tanúsítványok felelnek az S-ért a HTTPS-ben, és miattuk kerül a lakat jele a böngésző címsorába. HTTPS nélkül bárki klónozhatja bárki más honlapját: megkülönböztethetetlenné teheti az eredetitől, azonban csapdákat tehet bele, itt-ott valótlan tartalmat, a felhasználó pedig nehezen tudná meghatározni az eltéréseket. Ha viszont a honlap rendelkezik HTTPS-sel, a felhasználó böngészője kap egy biztonsági tanúsítványt, amely igazolja, hogy az adott honlap tulajdonosa és fenntartója valóban az a cég, akit a weboldal elvileg képvisel.

 

Bárki készíthet webes tanúsítványt és bármilyen tulajdonos-információt elhelyezhet benne. Ezt self-signed certificate-nek, “önmagával igazolt tanúsítványnak” nevezik: lényegében a kiállító önmagáért kezeskedik. Ha valaki úgy számol, hogy csupán három vagy négy ember fogja használni a weboldalát, egyenként biztosíthatja őket arról, hogy Ön készítette a biztonsági tanúsítványt - például személyes találkozóval -, ezzel megalapozva a bizalmat. 

 

Ez a megközelítés azonban nem működik, ha a célunk az, hogy több ezer vagy több százezer látogatót fogadjon a honlap az internet minden részéről, hiszen előzetesen nem érheti el mindegyikőjüket. Megoldásként kereshetünk egy CA-nak nevezett céget - ez a Certificate Authority, magyarul tanúsító hatóság kifejezés rövidítése -, aki jótállást vállal a honlapért úgy, hogy aláírja a biztonsági tanúsítványt a cég saját biztonsági tanúsítványát használva. Mielőtt a CA kezeskedne értünk, elvileg végre kellene hajtania egy alapvető ellenőrzést, amellyel megbizonyosodik arról, hogy valóban mi vagyunk a megbízott (és cselekvőképes) fenntartó, akinek a hitelesítő biztonsági tanúsítványt kiállítja.

 

Az alapvető CA ellenőrzések, mint például az ingyenes Let’s Encrypt CA-nál, arra korlátozódnak, hogy megbizonyosodjanak arról, be tud lépni az oldalra és képes azt adminisztrálni. Például az aláírás előtt a CA azt az utasítást adja, hogy adjon hozzá egy véletlenszerűen generált, előre nem meghatározható szövegrészletet egy új és specifikus névvel bíró oldalhoz a honlapján. Ha a releváns szöveg megjelenik a megfelelő helyen ésszerű időtartamon belül, a CA feltételezi, hogy mi teljes egészében hozzáférünk az oldalhoz és aláírja a biztonsági tanúsítványát. 

 

A drágább, EV-vel jelölt (Extended Valudation, “kiterjesztett hitelesítés”) biztonsági tanúsítványok esetében a tanúsító hatóság további ellenőrző lépéseket tesz meg, például utánanéz a cég regisztrációs adatainak, érvényesíti a megadott elérhetőségeket valós telefonhívásokkal vagy fizikailag aláírt dokumentumokat kér. Röviden: a CA-nak nem lenne szabad biztonsági tanúsítványokat aláírnia csak kérésre. 

 

 

Ki felel a CA-kért, a tanúsító hatóságokért?

Egy CA által aláírt biztonsági tanúsítvány nem elég. A böngészőnek egy olyan listára van szüksége, amely ismert és jó tanúsító hatóságokat tartalmaz, akiknek az aláírását megbízhatónak veszi a meglátogatni kívánt oldalak esetében. Így minden böngésző tartalmaz egy megbízható “root CA-kat” tartalmazó listát, akiknek a biztonsági tanúsítványait elfogadja. 

 

Néhány böngésző, mint például az Edge vagy a Safari az őket futtató operációs rendszer által biztosított listát használja. A Windowson vagy macOSen futó Chrome az operációs rendszerét, illetve saját módosított, a Google által nem megbízhatónak ítélt CA-kat visszautasító listájával dolgozik. A Firefox minden platformon, illetve a Linuxon futó Chrome is a Firefox által fenntartott megbízható CA-kat tartalmazó listájával működik.

 

Egyszerűsítve: Ön készít egy HTTPS biztonsági tanúsítvány, amellyel kezeskedik a saját honlapjáért; választ egy CA-t, aki jótáll a tanúsítványért; a böngésző pedig kezeskedik a CA-ért. Ezt hívják bizalmi láncnak és a böngésző (vagy az operációs rendszer tanúsítványtárolója) az, ahonnan indul. 

 

Mi történik, ha egy CA nem a szabályok szerint játszik?

Ha a CA elveszíti a közösség bizalmát, a közösség végső szankcióként törölheti a tanúsító hatóság saját tanúsítványait a megbízható “root” CA-k listájáról. Ritka ugyan, mivel a CA biztonsági tanúsítványainak böngészőkből való eltávolítása mellékhatásként azt eredményezi, hogy az általuk aláírt összes hitelesítőt hallgatólagosan visszautasítanak. Így minden weboldal, amely a CA által kiadott biztonsági tanúsítvány használja, nem megbízhatóvá válik. Ez fog történni a Symantec tanúsítványaival a Firefoxban és a Chrome-ban.

 

Miért most történik ez, ha a Symantec tavaly adta el a CA ágazatát?

A közösség bizalmatlansága a Symantec CA ágazatával szemben már hosszú ideje nőtt. A cég számos CA almárkát/sub-brandet szerzett meg (Thawte, GeoTrust és RapidSSL) és kivívta a közösség ellenszenvét azzal, hogy nem követte megfelelően a tevékenységet, amelyet az anyacég CA-ágazatának különböző részei végeztek. A Mozilla publikált egy listát az ismert problémákról, ami információdús olvasmányt biztosít mindenkinek, akit érdekel, hogy mit is kellene és mit nem kellene tennie egy tanúsító hatóságnak. Végül a Symantec eladta a CA ágazatát a DigiCertnek, a DigiCert pedig beleegyezett a meglévő Symantec tanúsítványok cseréjébe. Ezzel járulnak hozzá a tiszta újrakezdéshez. 

 

A Symantecről DigiCertre való átállás kapcsán hosszú időtartamban egyeztek meg. Valóban, számos Symantec tanúsítvány járt le ebben az időszakban, amelyek egyébként is megújításra szorultak. A Symantec és a DigiCert is világos, nyílt politikát folytatott a folyamattal kapcsolatban, amelyet a tanúsítványok tulajdonosainak követnie kell, ráadásul az új biztonsági tanúsítványokat ingyen biztosítják. Azonban az a honlaptulajdonosok egy apró, ám szignifikáns része még mindig nem ismerte fel, hogy a meglévő webes tanúsítványaik “vizuális kárhozatra” vannak ítélve a Chrome-ban és Firefoxban egyaránt ettől a hónaptól kezdve.

 

Mit kell tenni a Sophos szerint?

Ha olyan weboldalt futtat, ami a Symantec vagy bármelyik almárkájához tartozó (Thawte, GeoTrust vagy RapidSSL) biztonsági tanúsítványt használ, cserélje azt le azonnal! Ha nem újítja meg vagy cseréli a meglévő tanúsítványt, a következő hetekben látványos forgalomcsökkenésre kell számítania: az oldalára látogató felhasználók, akik egy váratlan biztonsági figyelmeztetésbe futnak bele, valószínűleg egy másik oldalon intézik majd el ügyeiket. Vásárolhat új tanúsítványt egy másik CA-tól, vagy felveheti a kapcsolatot a DigiCerttel is, akik megvették a Symantec CA ágazatát. Nagyon egyszerűen megoldható ez a probléma - nem lehet bonyolultabb vagy időigényesebb, mint megújítani a jogosítványát vagy könyvtári olvasókártyáját egy költözés után. 

 

A probléma figyelmen kívül hagyása drága következményekkel járhat, amennyiben a megrendeléseket és megbízásokat biztosító látogatók kapcsán a keresőre vagy más oldalak hivatkozásaira támaszkodik… és hát ki az, aki nem ezt teszi?

E-világ ROVAT TOVÁBBI HÍREI

Az AI forradalmára fókuszál a HONOR a VivaTech 2024-en

A HONOR bemutatta legújabb AI fejlesztéseit a párizsi VivaTech rendezvényen. Európa egyik legnagyobb tech- és innovációs eseményén a vállalat bemutatta újszerű, készülékalapú mesterséges intelligencia koncepcióját, és a négyrétegű AI stratégiáját. Ezzel együtt bejelentette, hogy a Google Clouddal készülő generatív AI fejlesztése új szintre emeli a felhasználói élményt.

2024. május 22. 19:26

Már lehet jelentkezni a Yettel és az Óbudai Egyetem közös ösztöndíjprogramjára

Május 22-től lehet jelentkezni a Yettel és az Óbudai Egyetem IT és mérnöki területen tanuló nők számára meghirdetett ösztöndíjprogramjára. Az ösztöndíj a diákok tudományos terveinek megvalósításához járul hozzá; a program keretösszege egy évre összesen 5 millió forint és szemeszterenként 4 diák nyerheti el.

2024. május 22. 17:48

Jövőbe mutató megoldások a 10. Smart Factory ConnAction konferencián

Az ipar 4.0 koncepciója több mint egy évtizede tartja izgalomban a termelővállalatokat. Ez idő alatt az ipari termelés digitalizálása és automatizálása, valamint az okos gyártás és az innovatív technológiák használata az egyik legnépszerűbb témává vált, amely még a mindennapi beszélgetésekben is megjelenik. 

2024. május 22. 16:05

Globális jelentőségű mérföldkőhöz ért a mesterséges intelligencia szabályozása

Hosszas jogalkotási folyamat lezárásaként a mai napon az Európa Tanács elfogadta a mesterséges intelligenciáról szóló rendelettervezetet, az EU Hivatalos Lapjában való közzétételtől pedig megkezdődik a visszaszámlálás a rendelet alkalmazásáig. A Deloitte szakértői összegyűjtötték, mit is tartalmaz pontosan a rendelet.

2024. május 22. 13:02

A Conrad és a TraceParts: B2B platform szinergia

Egyszerűsített fejlesztés, tervezés és kivitelezés: A Conrad termékkatalógusa mostantól a TraceParts-on is elérhető, lehetővé téve a CAD-adatok letöltését és a termékek megvásárlását egyetlen egérkattintással.

2024. május 22. 11:36

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Utazási konferencia az Angyalok városában

Minden második magyar internetező volt már áldozata kibertámadásnak

2024. május 22. 14:37

XX. E-KERESKEDELMI KONFERENCIA BY SAMEDAY

2024. május 17. 14:47

Az IKEA Kreativ megérkezett Magyarországra

2024. május 15. 17:52

Továbbra is Christian Klein az SAP első embere

2024. május 7. 13:17