Uwaga administratorzy, za miesiąc mogą zacząć się problemy ze stronami WWW

dodał 19 lutego 2018 o 08:59 w kategorii Krypto  z tagami:
Uwaga administratorzy, za miesiąc mogą zacząć się problemy ze stronami WWW

Zbliża się dzień, gdy strony korzystające z HTTP będą w przeglądarkach oznaczane jako niezabezpieczone. Jakby tego było mało, Chrome i Firefox przestają ufać certyfikatom Symanteca. Administratorzy, pora wziąć się do pracy!

„Strona nam nie działa” nie jest zdaniem, które chce usłyszeć osoba zarządzająca serwerem WWW od szefa. „Klienci się skarżą, że jest niebezpieczna” też do tych zdań nie należy. Przeczytajcie i sprawdźcie swoje serwisy, bo wiele dużych polskich firm nadal nie jest przygotowanych do zmian nadchodzących wkrótce w przeglądarkach. Szczególnie dotyczy to stron, które korzystają z certyfikatów wystawionych przez firmę Symantec, prowadzącą do niedawna działalność także pod markami Thawte, GeoTrust i RapidSSL. Zarówno Chrome, jak i Firefox już za miesiąc zaczną traktować te certyfikaty jako niezaufane.

Jak do tego doszło, czyli 30 tys. błędnie wydanych certyfikatów

Zaczęło się w styczniu zeszłego roku od wiadomości na jednej z grup dyskusyjnych Mozilli. Andrew Ayer opisał w niej szereg nieprawidłowości w certyfikatach wydanych przez Symanteca. Sprawą zainteresował się Google. Trzy miesiące później na forum deweloperskim Chromium opublikowano wyniki dochodzenia i wstępny plan działań. W toku przeprowadzonego przez firmę śledztwa znaleziono co najmniej 30 tys. błędnie wystawionych certyfikatów SSL/TLS, również tych o rozszerzonej weryfikacji (Extended Validation, EV). Najczęściej powtarzanym zarzutem było wydanie certyfikatu na domenę bez zgody jej właściciela, co otwierało drogę do ataków phishingowych, umożliwiając podszycie się pod zaufany serwis lub usługę.

Jak mogło dojść do takiej sytuacji? Ryan Sleevi z Google’a poinformował, że Symantec autoryzował kilka firm do przeprowadzania weryfikacji wniosków certyfikacyjnych. Były to CrossCert (Korea Electronic Certificate Authority), Certisign Certificatadora Digital, Certsuperior S. de R. L. de C.V. oraz Certisur S.A. Jak łatwo się domyślić, wymienione firmy działały z naruszeniem standardów wytyczonych przez branżę w ramach CA/Browser Forum. Zgodnie z obowiązującymi regułami pełną odpowiedzialnością za ich błędy został obarczony Symantec.

Zapowiedziane przez Google’a obniżenie wiarygodności certyfikatów Symanteca i wyłączenie dla nich rozszerzonej weryfikacji, rzecz jasna, nie przypadło firmie do gustu. Nie obyło się bez publikacji oświadczenia, w którym zarzuciła ona twórcom Chrome’a wyolbrzymianie i wprowadzanie w błąd. Jej zdaniem nieprawidłowo wydano tylko 127 certyfikatów i nie odnotowano żadnych związanych z tym naruszeń bezpieczeństwa. Od początku jednak w tym sporze Symantec stał na straconej pozycji, choćby dlatego, że nie był to pierwszy incydent z jego udziałem.

W październiku 2015 r. firmę przyłapano na wystawianiu testowych certyfikatów bez zgody właścicieli domen (w tym także Google’a) oraz dla domen, które nie zostały zarejestrowane. Wymuszono wtedy na Symantecu, by każdy wydany przez niego certyfikat trafiał do bazy Certificate Transparency (CT). Innym wymogiem było przeprowadzenie audytu, ale jak widać, zastosowane środki nie zapobiegły jeszcze większym nieprawidłowościom. Można się było spodziewać, że za drugim razem Google zareaguje bardziej radykalnie i tak się stało.

Konsekwencje, czyli Chrome przestaje ufać certyfikatom Symanteca

Pierwotny plan zakładał, że wybrana przez Symanteca firma pokieruje infrastrukturą jego partnerów, do czasu aż Symantec dostosuje się do obowiązujących w branży standardów. Do akcji wkroczył jednak DigiCert, który odkupił od niego cały biznes związany z certyfikatami za 950 mln dolarów. Przechodzenie na nową infrastrukturę zarządzaną przez tę firmę zakończyło się 1 grudnia 2017 r. Zgodnie z przedstawionym przez Google’a harmonogramem to oznacza, że Chrome nie będzie ufał certyfikatom wydanym po tej dacie przy użyciu starej infrastruktury Symanteca.

Co czeka certyfikaty SSL/TLS wystawione wcześniej? Muszą zostać wymienione. Wymóg ten dotyczy wszystkich marek, pod którymi je wydawano, takich jak RapidSSL, GeoTrust, Thawte i oczywiście Symantec. Administratorzy planujący ich wymianę powinni wziąć pod uwagę następujące terminy:

  1. Certyfikaty wystawione przed 1 czerwca 2016 r.
    • 15 marca 2018 r. zostanie wydana wersja beta przeglądarki Chrome 66, która zacznie wyświetlać ostrzeżenie o planowanym usunięciu zaufania do starej infrastruktury Symanteca.
    • 17 kwietnia 2018 r. ukaże się stabilna wersja Chrome 66, która przestanie ufać certyfikatom wydanym przez starą infrastrukturę przed 1 czerwca 2016 r.
  2. Certyfikaty wystawione między 1 czerwca 2016 r. a 30 listopada 2017 r.
    • 13 września 2018 r. pojawi się wersja beta Chrome 70, która będzie wyświetlać stosowne ostrzeżenie.
    • 23 października 2018 r. będzie można zainstalować stabilną wersję Chrome 70, która usuwa zaufanie do starej infrastruktury Symanteca i wszelkich wydanych przez nią certyfikatów.

Jak wynika z informacji podawanych przez DigiCert, wymiana będzie bezpłatna i wiąże się z ponowną weryfikacją zależną od klasy certyfikatu – DV, OV lub EV (odpowiednio Domain Validation, Organization Validation i wspomniana wcześniej Extended Validation). Podstawowy, darmowy certyfikat można zresztą uzyskać dzięki projektowi Let’s Encrypt, który sponsorują m.in. Google, Mozilla, Electronic Frontier Foundation, Cisco i Akamai.

Certyfikaty SSL

Eksperci z SSL24 rozwiążą Twój problem z certyfikatem SSL

Apokalipsa kontrolowana, czyli jaka jest skala problemu

Zamiast wierzyć klikbajtowym tytułom (typu Beware the looming Google Chrome HTTPS certificate apocalypse!), postanowiliśmy sami zbadać sytuację. Zaczęliśmy od pobrania przeglądarki Chrome Canary, w której zapowiadane zmiany pojawiają się ze znacznym wyprzedzeniem. Skorzystaliśmy też z wyszukiwarki Censys – naszym celem było znalezienie ciekawych przykładów polskich stron, których administratorzy muszą pilnie pomyśleć o wymianie certyfikatu.

Wyszukiwarka certyfikatów dobrze się spisała

Oto kilkanaście wyszukanych przez nas perełek:

  • https://ingservicespolska.pl
  • https://www.prepaid.pekao24.pl
  • https://owa.warta.pl
  • https://www.link4.pl
  • https://kontomierz.pl
  • https://www.wydawajioszczedzaj.pl
  • https://sms.orange.pl
  • https://www.njumobile.pl
  • https://edoktor24.pl
  • https://agorait.pl
  • https://www.swiatksiazki.pl
  • http://www.ikomornik.pl
  • https://akademiabezpieczenstwa.pl

Weźmy jedną z nich i sprawdźmy, jak wygląda w aktualnej wersji Chrome’a, a jak w Canary – pozwoli nam to rzucić okiem w przyszłość i przekonać się, czy warto zawracać sobie głowę wymianą certyfikatu.

Strona wyświetlona w aktualnej wersji Google Chrome

Strona wyświetlona przy użyciu Chrome Canary

Cóż, różnicę widać gołym okiem. Jak już wspomnieliśmy, po cichu podobne zmiany planuje wprowadzić także Mozilla. Należy się ich spodziewać w przeglądarce Firefox 60, która zostanie wydana 9 maja br. (wersję beta można będzie testować od 12 marca).

Przy okazji warto wspomnieć o bardziej kompleksowych badaniach, które przeprowadził Arkadiy Tetelman, ekspert od bezpieczeństwa pracujący obecnie w Airbnb. Skorzystał on z listy 1 mln najczęściej odwiedzanych stron, sporządzonej przez serwis Alexa. Uzupełnił ją o wersje z www (bo dla Google’a są to dwa różne hosty) i przeskanował, wykorzystując skrypt napisany w języku Ruby. Okazało się, że 11,5 tys. stron, czyli 0,6% z ich ogólnej liczby, może mieć problem z certyfikatem już 17 kwietnia, gdy ukaże się Chrome 66. Parę miesięcy później, po aktualizacji przeglądarki do wersji 70, taki sam los czeka 91,6 tys. stron (4,6%). Niby nie tak dużo, ale nie chcielibyście znaleźć się na miejscu administratorów i właścicieli serwisów, którym to się przytrafi.

Sprawdźcie więc, czy problem Was dotyczy. Możecie zacząć od przejrzenia zestawień felernych domen, które Tetelman udostępnił na GitHubie (bad_m66 oraz bad_m70). Nie warto tego odkładać na ostatnią chwilę. Pośpieszyć się radzimy także tym, którzy nie wdrożyli na swojej stronie protokołu HTTPS.

To jeszcze HTTPS

Prawdopodobnie słyszeliście, że Google Chrome od wersji 68, która ukaże się w lipcu tego roku, utrudni życie właścicielom i administratorom serwisów, którzy dotychczas nie wdrożyli protokołu HTTPS. W trosce o użytkowników strony takie będą oznaczane jako niezabezpieczone (ang. not secure), o czym Google poinformował na swoim blogu.

Nie jest to nowy pomysł – pierwsze propozycje dotyczące planowanych zmian pojawiły się pod koniec 2014 r. Kilka miesięcy później podobne deklaracje padły ze strony twórców konkurencyjnego Firefoksa. Deweloperzy obu przeglądarek długo zwlekali z wprowadzeniem widocznych dla użytkownika modyfikacji. Opublikowana przez Google’a grafika pozwala jednak sądzić, że za kilka miesięcy to się zmieni, przynajmniej w jego przeglądarce:

Porównanie oznaczeń w aktualnej i przyszłej wersji Google Chrome

Nie ma zatem na co czekać i jeśli Wasi użytkownicy oczekują choćby minimum bezpieczeństwa na Waszej stronie, to lepiej już teraz zaplanować jej migrację do HTTPS.

Gdzie szukać pomocy z certyfikatem SSL?
Jeżeli boisz się nadchodzących zmian w przeglądarkach i chcesz wymienić certyfikat SSL – zgłoś się do SSL24. Tamtejszy zespół specjalistów odpowie na wszelkie pytania:

  • Tel. 68 457 00 00
  • support@ssl24.pl

Dla zachowania pełnej przejrzystości – artykuł zawiera treści sponsorowane.