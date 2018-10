Chrome 70 i Firefox 63 odrzucają wszystkie certyfikaty internetowe podpisane przez Symantec. Od tego miesiąca każda osoba korzystająca z aktualnej wersji Chrome lub Firefox, która przegląda stronę internetową posiadającą certyfikat wydany przez firmę Symantec, zobaczy jednoznaczne ostrzeżenie o tym, że witryna jest niebezpieczna.

Dopóki twoja strona nie ma dostatecznej renomy i nie jest dobrze znana, powinieneś założyć, że prawie wszyscy użytkownicy, którzy napotkają takie ostrzeżenie - zwłaszcza w dobie tak świadomego nadzoru - po prostu klikną przycisk „Wstecz” i wyświetlą następną stronę pokazaną w wynikach wyszukiwania.

Obecnie w użyciu nie powinno być żadnych certyfikatów wydanych przez firmę Symantec, gdyż ta sprzedała swoją część odpowiedzialną za wydawanie certyfikatów internetowych firmie DigiCert w 2017 r. Od tamtej pory firma DigiCert odnawia stare certyfikaty Symantec.

Każdy, kto posiada aktualny certyfikat firmy Symantec może go bezpłatnie wymienić. Jeśli jesteś w takiej sytuacji, wymień swój certyfikat na nowy, a nie odnawiaj starego. Mozilla niedawno zdecydowała odroczyć tę zmianę, aby dać każdemu trochę więcej czasu.

Krótkie wyjaśnienie sprawy certyfikatów

Każdy może utworzyć certyfikat, do wykorzystania do zabezpieczenia strony i umieścić w nim dowolne informacje o własności. Jest to tzw. ‘własnoręcznie’ podpisany certyfikat, co oznacza, że ​​wystawiający certyfikat ręczy sam za siebie. Jeśli na stronę internetową będzie zaglądało tylko kilka osób, można udowodnić im indywidualnie, kto jest właścicielem strony i kto stworzył certyfikat na przykład spotykając się z nimi osobiście - i w ten sposób zbudować małą, ale mocną sieć zaufania. Jeśli jednak strona ma przyciągnąć setki lub tysiące użytkowników Internetu, takie podejście nie jest dobre, ponieważ nie można z wyprzedzeniem dotrzeć do wszystkich osobiście. Rozwiązaniem jest skorzystanie z usług zaufanej firmy mogącej świadczyć usługę Urzędu Certyfikacji, z angielskiego: CA - Certificate Authority, która daje poręczenie w postaci podpisanego certyfikatu dla strony internetowej. Każdy CA przed wystawieniem certyfikatu sprawdza, czy rzeczywiście osoba lub firma ubiegająca się o certyfikat jest upoważniona do obsługi witryny, której dotyczy ten certyfikat.

Najprostsza weryfikacja przeprowadzana np. przez bezpłatne narzędzie Let's Encrypt, które ogranicza się do testowania, czy osoba ubiegająca się o certyfikat jest w stanie zalogować się i administrować witryną internetową. Innymi formami weryfikacji jest np. prośba o dodanie losowego ciągu znaków do nowej strony w witrynie. Jeśli odpowiedni tekst pojawi się we właściwym miejscu i czasie, urząd uzna, że ubiegający się ma pełny dostęp do witryny i podpisze certyfikat. Droższe certyfikaty, oznaczone jako EV, z angielskiego Extended Validation, wymagają dodatkowych kontroli, takich jak weryfikacja zapisów rejestracyjnych firmy, danych kontaktowych czy odręcznie podpisanych dokumentów.

Kto ręczy za Urzędy Certyfikacji?

Certyfikat podpisany przez urząd certyfikacji to nie wszystko - przeglądarka potrzebuje listy zaufanych Urzędów Certyfikacji, których podpisane certyfikaty akceptuje jako zaufane. Niektóre przeglądarki, takie jak Edge i Safari, wykorzystują listę CA dostępną bezpośrednio z systemu operacyjnego; Chrome w systemach Windows i macOS oprócz CA z systemu operacyjnego korzysta dodatkowo z własnej listy, aby odrzucać Urzędy Certyfikacji, którym Google nie ufa. Natomiast Firefox na wszystkich platformach i Chrome na Linuksie używa listy CA sprawdzonej przez Mozillę.

Co się stanie, jeśli Urząd Certyfikacji (CA) zostanie skompromitowany?

Jeśli CA zostanie skompromitowany, będzie usunięty z listy zaufanych CA, co oznacza, że wszystkie certyfikaty podpisane przez to CA będą uznawane jako niewiarygodne i przeglądarki będą je odrzucać. Ta sytuacja dotyczy certyfikatów Symantec w Chrome i Firefox.

Dlaczego teraz tak się dzieje, skoro firma Symantec sprzedała swoje CA w ubiegłym roku?

CA firmy Symantec już od dłuższego czasu budziło wątpliwości. Po zakupie innych CA, takich jak Thawte, GeoTrust i RapidSSL, Symantec rygorystycznie je kontrolował. Mozilla opublikowała dokument, który może być ciekawą lekturą dla każdego, kto interesuje się tym, co powinien, a czego nie powinien robić Urząd Certyfikacji. Ostatecznie Symantec sprzedał swój urząd firmie DigiCert, a ta zaproponowała wymianę wszystkich certyfikatów na nowe.

Czas na wymianę certyfikatów Symantec na DigiCert był tak długi, że wiele certyfikatów wygasało w tym okresie. Polityka i proces wydawania nowych certyfikatów jest bardzo klarowny, a certyfikaty zastępcze wydawane są bezpłatnie. Jednakże wciąż istnieje niewielka, ale znacząca grupa właścicieli stron internetowych, która nie zdaje sobie sprawy, że ich obecne certyfikaty zostaną uznane za niezaufane przez Chrome i Firefoksa już teraz.

Co robić?

Jeśli prowadzisz witryny, które wciąż mają certyfikaty podpisane przez Symantec lub jedną z jego firm zależnych (Thawte, GeoTrust i RapidSSL), od razu wymień certyfikat. Jeśli nie odnowisz lub nie wymienisz certyfikatu na inny, możesz spodziewać się widocznego spadku ruchu w ciągu kilku następnych tygodni: użytkownicy, którzy zamiast treści strony zobaczą ostrzeżenie o niebezpieczeństwie prawdopodobnie po prostu odwiedzą inne strony lub dokonają zakupów w innych miejscach. Aby to zmienić, możesz kupić nowy certyfikat od zupełnie innego CA, lub skontaktować się z DigiCert, który kupił CA należące do firmy Symantec.

Autorka: Joanna Wziątek-Ładosz, Sophos