Niedawno pojawił się Chrome 70, a w ubiegły wtorek Firefox 63 – Czy wiesz w jaki sposób Chrome i Firefox mogą zrujnować Twój biznes w Internecie?

Niedawno pojawił się Chrome 70, a w ubiegły wtorek Firefox 63. Większość osób korzystających z popularnych przeglądarek otrzymała ich aktualizacje i najprawdopodobniej nie sprawdzała, jakie ulepszenia zawierają. Jedna ze zmian wspólnych dla obydwu tych produktów, które mają ogromną większość udziału w rynku wśród użytkowników laptopów może mieć duże znaczenie dla małej, ale znaczącej grupy administratorów stron internetowych.

 

Komentuje  Joanna Wziątek-Ładosz, która zajmuje się bezpieczeństwem IT od ponad dekady, a od 2009 roku pracuje u brytyjskiego producenta SOPHOS jako Sales Engineer. Obecnie skupia się na bezpieczeństwie rozwiązań chmurowych – zarówno „security in the cloud”, jak i „of the cloud”. Z wykształcenia magister inżynier informatyk, ukończyła również studia doktoranckie z informatyki i podyplomowe na University of Maryland, USA z Cloud Security.

 

Chrome 70 i Firefox 63 odrzucają wszystkie certyfikaty internetowe podpisane przez Symantec. Od tego miesiąca każda osoba korzystająca z aktualnej wersji Chrome lub Firefox, która przegląda stronę internetową posiadającą certyfikat wydany przez firmę Symantec, zobaczy jednoznaczne ostrzeżenie o tym, że witryna jest niebezpieczna:

 

Dopóki twoja strona nie ma dostatecznej renomy i nie jest dobrze znana, powinieneś założyć, że prawie wszyscy użytkownicy, którzy napotkają takie ostrzeżenie – zwłaszcza w dobie tak świadomego nadzoru – po prostu klikną przycisk „Wstecz” i wyświetlą następną stronę pokazaną w wynikach wyszukiwania. Mówiąc wprost: przez lata uczymy ludzi, aby nie ignorowali ostrzeżeń o certyfikatach, a przeglądarki sprawiły, że coraz trudniej jest omijać ostrzeżenia i użytkownicy muszą na nie zwracać uwagę, co rzeczywiście robią. Wszystko, co sugeruje, że strona internetowa nie gwarantuje bezpiecznego połączenia – czy jest to spowodowane błędem konfiguracji, czy też rzeczywistym problemem z bezpieczeństwem – powoduje olbrzymi ruch zwrotny wśród potencjalnych użytkowników, który jest odnotowywany przez wyszukiwarki. Obecnie w użyciu nie powinno być żadnych certyfikatów wydanych przez firmę Symantec, gdyż ta sprzedała swoją część odpowiedzialną za wydawanie certyfikatów internetowych firmie DigiCert w 2017 r. Od tamtej pory firma DigiCert odnawia stare certyfikaty Symantec.

 

Każdy, kto posiada aktualny certyfikat firmy Symantec może go bezpłatnie wymienić. Jeśli jesteś w takiej sytuacji, wymień swój certyfikat na nowy, a nie odnawiaj starego.  Jeśli tego nie zrobisz, możesz spodziewać się wyraźnego spadku natężenia ruchu na swojej stronie. Mozilla niedawno zdecydowała odroczyć tę zmianę, aby dać każdemu trochę więcej czasu. Jak mówi Mozilla: „Szkoda, że tak wielu administratorów stron internetowych czekało na aktualizację swoich certyfikatów, zwłaszcza że DigiCert zapewnia zamienniki za darmo”.

 

Oto krótkie wyjaśnienie sprawy certyfikatów:

Aby zwiększyć bezpieczeństwo własnej witryny można zaimplementować certyfikat, którym podpisane są klucze wykorzystywane do szyfrowania połączenia między klientem a serwerem. Dla użytkowników oznacza to, że przed adresem pojawia się „https” zamiast „http”, a przeglądarki wyświetlą znak kłódki obok adresu strony. Bez protokołu HTTPS każdy mógłby sklonować i opublikować stronę internetową innej osoby lub firmy sprawiając, że trudno byłoby je odróżnić. Jeśli jednak  połączenie HTTPS jest skonfigurowane, przeglądarka otrzymuje certyfikat, który zapewnia, że firma reprezentująca stronę faktycznie jest jej właścicielem.

 

Każdy może utworzyć certyfikat, który można wykorzystać do zabezpieczenia strony i umieścić w nim dowolne informacje o własności. Jest to tzw. ‘własnoręcznie’ podpisany certyfikat, co oznacza, że ​​wystawiający certyfikat ręczy sam za siebie. Jeśli na stronę internetową będzie zaglądało tylko kilka osób, można udowodnić im indywidualnie, kto jest właścicielem strony i kto stworzył certyfikat na przykład spotkając się z nimi osobiście – i w ten sposób zbudować małą, ale mocną sieć zaufania.  Jeśli jednak strona ma przyciągnąć setki lub tysiące użytkowników Internetu, takie podejście nie jest dobre, ponieważ nie można z wyprzedzeniem dotrzeć do wszystkich osobiście. Rozwiązaniem jest skorzystanie z usług zaufanej firmy mogącej świadczyć usługę Urzędu Certyfikacji, z angielskiego: CA – Certificate Authority, która daje poręczenie w postaci podpisanego certyfikatu dla strony internetowej. Każdy CA przed wystawieniem certyfikatu sprawdza, czy rzeczywiście osoba lub firma ubiegająca się o certyfikat jest upoważniona do obsługi witryny, której dotyczy ten certyfikat.

 

Najprostsza weryfikacja przeprowadzana np. przez bezpłatne narzędzie Let’s Encrypt, które ogranicza się do testowania, czy osoba ubiegająca się o certyfikat jest w stanie zalogować się i administrować witryną internetową. Innymi formami weryfikacji jest np. prośba o dodanie losowego ciągu znaków do nowej strony w witrynie. Jeśli odpowiedni tekst pojawi się we właściwym miejscu i czasie, urząd uzna, że ubiegający się ma pełny dostęp do witryny i podpisze certyfikat. Droższe certyfikaty, oznaczone jako EV, z angielskiego Extended Validation, wymagają dodatkowych kontroli, takich jak weryfikacja zapisów rejestracyjnych firmy, danych kontaktowych czy odręcznie podpisanych dokumentów.

 

Kto ręczy za Urzędy Certyfikacji?

Certyfikat podpisany przez urząd certyfikacji to nie wszystko – przeglądarka potrzebuje listy zaufanych Urzędów Certyfikacji, których podpisane certyfikaty akceptuje jako zaufane. Niektóre przeglądarki, takie jak Edge i Safari, wykorzystują listę CA dostępną bezpośrednio z systemu operacyjnego; Chrome w systemach Windows i macOS oprócz CA z systemu operacyjnego korzysta dodatkowo z własnej listy, aby odrzucać Urzędy Certyfikacji, którym Google nie ufa. Natomiast Firefox na wszystkich platformach i Chrome na Linuksie używa listy CA sprawdzonej przez Mozillę.

 

Co się stanie, jeśli Urząd Certyfikacji (CA) zostanie skompromitowany?

Jeśli CA zostanie skompromitowany, będzie usunięty z listy zaufanych CA, co oznacza, że wszystkie certyfikaty podpisane przez to CA będą uznawane jako niewiarygodne i przeglądarki będą je odrzucać. Ta sytuacja dotyczy certyfikatów Symantec w Chrome i Firefox.

 

Dlaczego teraz tak się dzieje, skoro firma Symantec sprzedała swoje CA w ubiegłym roku?

CA firmy Symantec już od dłuższego czasu budziło wątpliwości. Po zakupie innych CA, takich jak Thawte, GeoTrust i RapidSSL, Symantec rygorystycznie je kontrolował. Mozilla opublikowała dokument, który może być ciekawą lekturą dla każdego, kto interesuje się tym, co powinien, a czego nie powinien robić Urząd Certyfikacji. Ostatecznie Symantec sprzedał swój urząd firmie DigiCert, a ta zaproponowała wymianę wszystkich certyfikatów na nowe. Czas na wymianę certyfikatów Symantec na DigiCert był tak długi, że wiele certyfikatów wygasało w tym okresie. Polityka i proces wydawania nowych certyfikatów jest bardzo klarowny, a certyfikaty zastępcze wydawane są bezpłatnie. Jednakże wciąż istnieje niewielka, ale znacząca grupa właścicieli stron internetowych, która nie zdaje sobie sprawy, że ich obecne certyfikaty zostaną uznane za niezaufane przez Chrome i Firefoksa już teraz.

 

Co robić?

Jeśli prowadzisz witryny, które wciąż mają certyfikaty podpisane przez Symantec lub jedną z jego firm zależnych (Thawte, GeoTrust i RapidSSL), od razu wymień certyfikat. Jeśli nie odnowisz lub nie wymienisz certyfikatu na inny, możesz spodziewać się widocznego spadku ruchu w ciągu kilku następnych tygodni: użytkownicy, którzy zamiast treści strony zobaczą ostrzeżenie o niebezpieczeństwie prawdopodobnie po prostu odwiedzą inne strony lub dokonają zakupów w innych miejscach. Aby to zmienić, możesz kupić nowy certyfikat od zupełnie innego CA, lub skontaktować się z DigiCert, który kupił CA należące do firmy Symantec.