Certifikat-fusk: Kommende Chrome dropper helt tilliden til to CA'ere
Googles browser Chrome vil fra version 61 ikke længere have tillid til TLS/SSL-certifikater fra de to certification authorities (CA'ere) WoSign og StartCom, hvor sidstnævnte er et selskab under WoSign.
Det fremgår af et indlæg på Google Groups fra sikkerhedsudvikler på Chrome Devon O'Brien, som The Register er stødt på.
Certifikaterne bruges til at bekræfte en sikker forbindelse og skal netop sikre, at der er tillid til den kryptering, der er anvendt.
Google har gradvist neddroslet tilliden til certifikater udstedt via WoSign og StartCom over en periode. Sidste år, med Chrome 56, begyndte Google-browseren kun at have tillid til certifikater fra før 21. oktober 2016. Og dernæst blev tilliden yderligere begrænset i form af en stadig kortere whiteliste over godkendte hostnavne med certifikater fra de pågældende CA'ere.
Og fra Chrome version 61, der forventes at udkomme i midten af september 2017, er det slut med whitelisten også. Det vil sige, at Chrome-brugere i alle tilfælde vil blive mødt af en advarsel, når de forsøger at tilgå et domæne med et certifikat, som er udstedt via WoSign eller StartCom.
Flere problemer
The Register kan fortælle, at der ifølge Google har været flere problemer forbundet med WoSign og StartCom. GitHub kunne sidste august fortælle, at WoSign udstedte et certifikat til et GitHub-domæne uden der havde fundet den rette godkendelse sted. En efterfølgende efterforskning viste, at WoSign havde tilbagedateret SHA-1-baserede certifikater, som i dag anses for usikre. Chrome har advaret brugere, når hjemmesider har anvendt et SHA-1-baseret certifikat, der udløber efter 1. januar 2017.
Det kom desuden frem i forbindelse med undersøgelsen, at WoSign havde forsøgt at skjule sin overtagelse af StartCom.
Efterfølgende meddelte Mozilla, Apple og Google, at virksomhederne gradvist ville udfase tilliden til certifikater fra WoSign og StartCom.
O'Brien opfordrer sites, der stadig anvender certifikater fra de to CA'ere, til at overveje at udskifte certifikaterne.
The Register har ikke umiddelbart kunne få en kommentar fra WoSign. En kundesupport-medarbejder hos StartCom har fortalt mediet, at der arbejdes på at kunne bestå en audit.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
