Két közelmúltbeli szoftverfrissítés is nagyon bekavarhat azon weboldalaknak, amelyek még Symantec tanúsítványt használnak. A Chrome 70 és a Firefox 63 egyaránt vissza fogja utasítani a adott weboldal biztonsági tanúsítványait.
Mostantól, aki Chrome-ot vagy Firefoxot használ, a Symantec tanúsítványaival védett oldalaknál a honlapok nem biztonságos voltáról kap figyelmeztetést – emelik ki a Sophos biztonsági cég szakértői. Megjegyzik egy ilyen üzenet esetén az odalátogatók többsége elhagyja az oldalt, a keresőmotorok is leértékelhetik a honlapot.
Ingyenesen cserélhetők a régi tanúsítványok
A Symantec tanúsítványoknak már rég nem kellene használatban lennie. Utóbbi biztonsági cég 2017-ben adta el biztonsági tanúsítvány üzletágát a DigiCertnek, amely a Symantec régi tanúsítványainak cseréjén dolgozik azóta is.
„Bárki, akinek még nem járt le a Symantec biztonsági tanúsítványa, ingyen lecserélheti – ne halogassa a megújítást” – figyelmeztetnek a szakértők.
A biztonsági tanúsítványok felelnek az s-ért a https-ben, miattuk van ott lakatjel a böngésző címsorában. Ha ilyen honlapon járunk a böngészőnk megkapja a biztonsági tanúsítvány, amely igazolja, hogy az adott honlap tulajdonosa és fenntartója valóban az a cég, amelyet a weboldal képvisel. Enélkül viszont bárki klónozhatja bárki más honlapját, csapdákat, valótlan tartalmakat tehet bele, a felhasználó pedig nehezen ismeri fel az eltéréseket.
A tanúsítványok sokfélék lehetnek. Készíthet valaki saját maga által igazolt tanúsítványt, úgynevezett self-signed certificate-t. Ez azonban csak kis létszámú felhasználónál működik.
Ha a honlap látogatottsága több ezres vagy több százezres, választhatunk egy tanúsító hatóságot(CA), amely jótállást vállal a honlapért úgy, hogy aláírja a biztonsági tanúsítványt a cég saját biztonsági tanúsítványát használva. Mielőtt a CA kezeskedne értünk, végre kell(ene) hajtania egy alapvető ellenőrzést, amellyel megbizonyosodik arról, hogy valóban mi vagyunk a megbízott fenntartó.
De ki ellenőrzi a tanúsító hatóságokat?
Az alapszintű CA ellenőrzések, mint az ingyenes Let’sEncrypt CA-nál, csupán arra korlátozódnak, hogy megbizonyosodjanak róla, hogy a honlap gazda be tud lépni az oldalra és képes azt adminisztrálni. A fizetős kiterjesztett hitelesítéssel(EV) megjelölt biztonsági tanúsítványok esetében a tanúsító hatóság további ellenőrző lépéseket tesz meg, például utánanéz a cég regisztrációs adatainak, valós telefonhívásokkal ellenőrzi a megadott elérhetőségeket, vagy fizikailag aláírt dokumentumokat kér.
Szimplán egy CA által aláírt biztonsági tanúsítvány nem elég. A böngészőnek olyan listára van szüksége, amely ismert és megbízható tanúsító hatóságokat tartalmaz. Néhány böngésző, mint például az Edge vagy a Safari az őket futtató operációs rendszer listáját használja. A Windowson vagy macOSen futó Chrome a Google által megbízhatatlannak ítélt CA-kat visszautasító listával dolgozik. A Firefox minden platformon, illetve a Linuxon futó Chrome is a Firefox által fenntartott megbízható CA-kat tartalmazó listájával működik.
A bizalmatlanság a Symantec CA ágazatával szemben hosszú idő alatt alakult ki. A cég az elmúlt évek alatt számos CA almárkát szerzett meg (Thawte, GeoTrust és RapidSSL) de nem követte megfelelően a kibővült profil tevékenységét. A Mozilla közzé is tett egy listát a problémákról. Végül a Symantec eladta a CA ágazatát a DigiCertnek, a DigiCert pedig tiszta újrakezdéssel akarja a bizalmat visszaszerezni. Az átállás kapcsán azonban meglehetősen hosszú időtartamban egyeztek meg.
Számos Symantec tanúsítvány járt már le, de még vannak olyan honlap tulajdonosok, amelyek kivártak. Nekik tanácsolják a Sophos szakértői, hogy azonnal cseréljék le a Symantec és említett almárkái által kibocsátott tanúsítványokat, különben látványos forgalomcsökkenéssel kell számolniuk.