Suomalaisille verkkosivustoille tehdään tietomurtoja miltei päivittäin. Osa murroista on niin sanottuja töhrimisiä, jolloin murtautuja jättää sivuille oman nimimerkkinsä todisteeksi murron onnistumisesta.
Google esittää Symantecin varmenteiden vähittäistä hylkäämistä
Juha Leivo
Maaliskuu 24, 2017 at 10:30
Internetyritys Google esitti torstaina maaliskuun 23. päivänä kehittäjäfoorumillaan ehdotuksen, että se alkaa vähitellen mitätöimään Symantecin varmenteita, Symantecin jäätyä kiinni myönnettyään virheellisesti 30 000 sertifikaattia viime vuosina. Symantec oli myöntänyt sertifiointioikeuksia ulkopuolisille toimijoille, joista neljä olivat Symantecin valvonnan alaisina myöntänyt sertifikaatteja virheellisesti. Googlen ja Mozillan selvitysten mukaan Symantec oli tietoinen ainakin yhden toimijan virheellisestä toiminnasta.
Mikäli muutosehdotus hyväksytään vaikutusaikataulu on seuraava:
|
Versio |
Arvioitu julkaisupäivä |
Hyväksytty voimassaoloaika |
|
59 |
6. kesäkuuta, 2017 |
33 kuukautta |
|
60 |
1. elokuuta, 2017 |
27 kuukautta |
|
61 |
12. syyskuuta, 2017 |
21 kuukautta |
|
62 |
24. lokakuta, 2017 |
15 kuukautta |
|
63 |
12. joulukuuta, 2017 |
15 kuukautta |
|
64 |
Päivämäärää ei vielä julkaistu |
9 kuukautta |
Loppukäyttäjät alkavat Chrome 59:stä alkaen saamaan varoituksia virheellisistä varmenteista, mikäli ne ovat Symantecin myöntämiä. Varmenne tulkitaan virheelliseksi, jos sen voimassaoloaika on pidempi kuin 33 kuukautta. Voimassaoloajan vaatimus kiristyy esitetyn aikataulun mukaisesti seuraavan vuoden verran.
Lisäksi Symantec Extended Validation (EV) -varmenteille ei enää myönnetä Extended Validation statusta, vaan ne tulkitaan normaaleiksi Domain Validation (DV) -varmenteiksi. Mikäli muutos hyväksytään, muutos astuu voimaan välittömästi ja on voimassa vähintään vuoden, tai niin kauan kunnes Symantec on korjannut sertifikaatin myöntämisprosesseja sellaiselle tasolle, että Google voi siihen jälleen luottaa. Loppukäyttäjät eivät enää näe vihreää osoitekenttää selaimessa sikäli sivusto käyttää Symantecin myöntämää EV-varmennetta.
Mitä Symantec sertifikaattien käyttäjien tulee tehdä muutoksen takia?
Jos ostatte DV-varmenteita Symantecilta, Verisignilta, Thawtelta, GeoTrustilta, tai Equifaxilta aloittakaa varmenteiden vaihtaminen varmenteisiin, jotka ovat voimassa enintään 9 kuukautta. Jos taas ostatte EV-varmenteita kyseisiltä yrityksiltä aloittaa neuvottelut toisen toimittajan kanssa EV-varmenteiden hankkimisesta. Googlen päätöstä asian suhteen kannattaa seurata, sillä jos Google päättää toimia, yritysten tulee aloittaa varmenteidensa vaihto säilyttääksensä luotettavuutensa.
Onko tietoturva vaarantunut?
Mikäli EV-luottomuutos tapahtuu, loppukäyttäjät eivät näe eroa DV- ja EV-varmenteiden välillä. Tämä näkyy selaimen osoiterivin värin muutoksena vihreästä valkoiseksi. Tämä ei suoranaisesti avaa hyökkääjille helppoa hyökkäystapaa, mutta voi laskea kuluttajan luottamusta sivustoon ja aiheuttaa yhteydenottoja asiakaspalveluun. Jos varmenteiden voimassaolomuutos tulee voimaan, eikä sivuston omistaja uusi varmenteita, kohtaavat sivuston käyttäjät varmennevirheitä. Normaalisti varmennevirheet ovat indikaatio hyökkääjän toimista. Näin ollen jos normaali yhteys sekä väärennetty yhteys sivustoon aiheuttavat kumpikin varmennevirheitä, loppukäyttäjä ei voi tunnistaa hyökkäystä, eikä näin ollen voi luottaa sivuston sisältöön.