Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Za lekkomyślność przy wystawianiu certyfikatów SSL, Symantec wypadnie z gry?
Wg tej propozycji od Google, Chrome w nowszych wersjach ma akceptować certyfikaty SSL od Symanteca maksymalnie z ważnością 9 miesięcy (wg proponowanego harmonogramu – od Chrome 64, a zmniejszanie czasu ważności ma się zacząć od Chrome 59).
Problem mogą również mieć właściciele certyfikatów od Thawte oraz GeoTrust. W komentarzach pod notką od Google czytamy bowiem odpowiedź na jedno z pytań:
Q: Can you please clarify if any related CAs are affected, such as GeoTrust and Thawte, are affected?
A: All Symantec issued certificates. GeoTrust and Thawte are CAs operated by Symantec, simply afforded different branding.
Jeśli Google wprowadzi zapowiadane restrykcje, może być bardo poważny cios, w końcu dużo klientów kupuje certyfikat ważny na co najmniej rok…
Dalej, Chrome nie będzie też akceptował certyfikatów Extended Validation od Symanteca… Wg przedstawionego usunięcie Extended Validation ma nastąpić „natychmiast” („effective immediately„).
Prośba o dokładniejsze wyjaśnienie terminu „effective immediately” spotkała się z odpowiedzią jak poniżej. Czyli EV od Symanteca traktowane ma być jako… spoofing zawartości w pasku URL przeglądarki i uznana jako podatność o ryzyku średnim:
As this is a security related incident, the proposal is to land this in Trunk and update Dev and Beta to reflect this, treating this as „Medium” severity per https://www.chromium.org/developers/severity-guidelines by treating this as an address bar spoofing issue.
Ogólnie Google w oficjalnej notce wyraża się dość ostro:
[we] no longer have confidence in the certificate issuance policies and practices of Symantec over the past several years.
Z kolei co do EV:
(…) Removal of recognition of the Extended Validation status of Symantec issued certificates, until such a time as the community can be assured in the policies and practices of Symantec, but no sooner than one year.
Jednym z powodów takiego dość drastycznego podejścia jest zapewne wystawienie lewych certyfikatów dla domeny Google.com, czy w sumie około 30 000 certyfikatów na przestrzeni paru lat, które zostały wystawione wg Google bez zachowania należytej staranności (delikatnie rzecz ujmując)…
Symantec odniósł się też do zarzutów Google i twierdzi że informacja o „30 000 certyfikatach” jest „przesadzona” oraz „myląca”:
At Symantec, we are proud to be one of the world’s leading certificate authorities. We strongly object to the action Google has taken to target Symantec SSL/TLS certificates in the Chrome browser. This action was unexpected, and we believe the blog post was irresponsible.
Złą jednak informacją dla Symanteca jest fakt, że to Google decyduje w jaki sposób będzie działała przeglądarka Chrome…
–ms
(tak, pracuje dla S, nie, nie mam nic wspolnego z dzialami odpowiedzialnymi za certyfikaty)
– oprocz „przesadzona” Symantec napisal tez, ze incydentow bylo „127, a nie 30000”. To jest moim zdaniem ciekawsza czesc, niz samo stwierdzenie o „przesadzeniu”.
– Google nie tak dawno samo stalo sie „root CA” (https://forums.theregister.co.uk/forum/1/2017/01/27/google_root_ca/). Wczesniej Google uzywalo (i o ile widze dalej uzywa) certyfikatow od GeoTrust, czyli Symanteca.
Ja tam przygotowuje popcorn :)
Jeszcze napiszę tak: Google będący właścicielem Chrome, który ma więcej niż 50% rynku przeglądarek, może nawet pojechać po bandzie, i co im kto zrobi?
Właśnie root CA to z kolei ciężko powiedzieć czy to jest dobre, bo kto ich będzie kontrolował? Teraz jest względnie OK – przeglądarki vs dostarczyciele certów.
Co kto im zrobi. Bardzo dobre pytanie. To zwykli użytkownicy decydują czy będą tej przeglądarki używać. Nie wierzę w to co google zarzuca firmie symantec. To gra biznesowa ze strony googla. Bo chcą przejąć rynek certyfikatów EV w którym symantec jest liderem (szczególnie dla podmiotów finansowych – banki, itd). Jeżeli ktoś nigdy nie widział jak przebiega fizyczny sposób i procedury zawarte w procesie certyfikowania to może uwierzyć to co google pisze i mówi.
30000 wzięło się m.in. z tego, że symantec wystawiał certyfikaty EV dla nieistniejących domen (albo np. dla example.com, test1.com itd)
https://crt.sh/?sha256=A8F14F52CC1282D7153A13316E7DA39E6AE37B1A10C16288B9024A9B9DC3C4C6
– nie wiem czy to jest coś co można uznać za „nieistotne” :)
(+1)
Na szczęście, nie używam chroma i nie zamierzam. Niedługo dojscie do sytuacji ze tylko googlowskie sa fajne, reszta zla i chrome nie wpusci.
Gorzej dla właścicieli certów SSL, bo jednak Chrome w niektórych statsach podchodzi do 60% market share…
Zmiany mają dotyczyć nowych certyfikatów, a nie już wystawionych. Podobnie było ze StartSSL — te już wystawione, mimo że unieważniono certyfikat CA, dalej działały.
W sumie nigdy nie myślałem o działaniach google w tym kontekście, ale w ten sposób mogą w znaczący sposób decydować już nie tylko gdzie jakie wyniki wyszukiwań pozycjonują się w ich wyszukiwarce, ale które strony w ogóle się otworzą. W związku z tym, że podglądnięcie certyfikatu wymaga w chwili obecnej niezłej ekwilibrystyki przeciętny użytkownik nie będzie miał nawet podstawy, aby podjąć decyzję o ewentualnym zignorowaniu ostrzeżenia.
No pewnie powodów inwestowania w Chrome mają sporo – nikt im jednym pstryczkiem nie wyłączy core biznesu – czyli reklam wyświetlanych w Google. Bo potencjalnie można by to zrobić (na zasadzie, są malware w reklamach i chcemy bronić użytkowników internetu ;-)
privacy badget + adblock + duckduckgo.com <3 Not track no ads no google shit ;)
O co chodzi z tym ze Symantec wystawial lewe certyfikaty dla google?
https://security.googleblog.com/2015/09/improved-digital-certificate-security.html
https://security.googleblog.com/2015/10/sustaining-digital-certificate-security.html
„On September 14, around 19:20 GMT, Symantec’s Thawte-branded CA issued an Extended Validation (EV) pre-certificate for the domains google.com and http://www.google.com. This pre-certificate was neither requested nor authorized by Google.”
Ale ogólnie więcej info jest w linkach wyżej.
Nie używam google :) więc nie potrzebuje popcornu do tej g..burzy
i nawigujesz po http? ;) rzeczywiście – no problem :-D
Właśnie pojawił się nowy fix do Chrome’a. Wg. mnie właśnie przestały się wyświetlać certyfikaty symenteca jako EV. Wystarczy porównać np. http://www.symantec.com np. z http://www.mbank.pl
Czy ktoś jest w stanie potwierdzić to info?
u nas jeszcze działa normalnie ;)
Chrome Wersja 57.0.2987.110
http://www.symantec.com lub http://www.pekao24.pl w pasku przeglądarki powinno być info na temat nazwy firmy prowadzącej serwis. Pojawia się tylko informacja że serwis jest bezpieczny – czyli jak dla zwykłego certyfikatu wystawionego np. przez Lets Enrypt.
mbank.pl działa normalnie bo cert jest z DigiCert, natomiast serwis transakcyjny https://online.mbank.pl ma cert od Symanteca
No masa firm, które mają w miarę świeży cert SSL od Symanteca ma problem. Ale widziałem też co najmniej jeden przypadek z Certum.
ING, BGZ BNP, T-mobile bankowe – nie muszą się banki spieszyć z nowymi certyfikatami, bo wszystkie inne banki „też tak mają”. Można powiedzieć, że to po prosty feature Chroma, że nie wyświetla nazwy firmy, dla której jest certyfikat.
tyle że nie dla wszystkich CA – są takie dla których wszystko gra :)
Na wszystko recepta Let’s Encrypt. Certyfikaty wystawiane na 3 miesiące. Wsparcie takich marek jak Cisco i Mozilla. Po co wogule kupować certyfikaty do stron web. Tak powiecie mi że ubezpieczenie. Ma to znaczenie kiedy byśmy bank prowadzili i uwierzytelniali klientów ale nie przy zwykłych web