Coops it-direktør irriteret over certifikat-træk fra Google
I den seneste udgave af Chrome har en stribe danske hjemmesider fået en rød streg sat hen over den hængelås, der normalt skal vise brugeren, at der er oprettet en sikker forbindelse til en server. Men selvom hjemmesider, der ikke tidligere har haft det, nu får sat en rød streg over hængelåsen i Chrome, betyder det ikke nødvendigvis, at forbindelsen pludselig er blevet usikker. Men den kan måske blive det.
En Version2-læser har bemærket, at en af de hjemmesider, der har fået en streg over hængelåsen, er coopbank.dk. Det er online-facaden til Coop Bank, hvorfra der kan klikkes videre ind i netbanken. Selve netbanken er en adskilt standardløsning.
»Det, der selvfølgelig er uheldigt, er, at brugerne får et indtryk af, at det er en usikker forbindelse, og at den ikke er krypteret. Og det er ikke tilfældet. Forbindelsen er lige så sikker, som den hele tiden har været,« siger it-direktør i Coop René Munk-Nissen.
Selvom forbindelsen er krypteret, og certifikatet på Coops Banks side er gyldigt, får Chrome-brugere nu alligevel visuelt at vide, at noget er galt, via den røde streg hen over hængelåsen, når de havner på hjemmesiden. Det skyldes, at Google med den seneste opdatering til Chrome-browseren har øget kravene til de certifikater, hjemmesiderne anvender.
Hvis certifikaterne anvender en SHA-1-signatur, og de udløber 1. januar 2017 og frem, kommer der rød streg over hængelåsen fra Chrome version 42. Google anser nemlig hash-algoritmen SHA-1 som et kommende sikkerhedsproblem, og virksomheden vil derfor gerne have luget ud blandt de længereløbende certifikater.
Udløber SHA-1-certifikatet fra 1. januar 2016 til 31. december 2016, betragter Chrome certifikatet som ‘sikkert, men med mindre fejl’. Det resulterer visuelt i en hængelås med en gul trekant over.
Og udløber SHA-1-certifikatet inden 1. januar 2016 - altså i 2015 - dukker der ikke umiddelbart nogen visuelle advarsler op. Det gjorde der i hvert fald ikke i Version2's besøg på cpr.dk med Chrome version 42. Sitet anvender også et SHA-1-certifikat, men det udløber til december i år.
Google meldte SHA-1-udfasning ud i september
Google har varslet tiltaget mod SHA-1-certifikaterne tilbage i september 2014 i et blogindlæg. I tidslinjen i blogindlægget nævnes Chrome version 41 som der, hvor stregen kommer over hængelåsen, men det lader først til at være sket i version 42, hvilket den italienske sikkerhedsekspert Filippo Valsorda bemærker i et blogindlæg om Googles tiltag.
Virksomhedens begrundelse for at stramme skruen mod SHA-1-certifikaterne er, at det nok vil være for let at bryde krypteringen bag certifikaterne i fremtiden.
Specifikt nævner Google truslen om kollisionsangreb som et problem. Det vil sige, at to forskellige input kørt gennem SHA-1-algoritmen producerer det samme output, hvilket er skidt i en kryptografisk sammenhæng.
Sikkerhedsmanden Bruce Schneier har tidligere blogget om netop denne udfordring, der vokser i takt med processorkraften.
Det er gået galt før
Som eksempel på konsekvenserne, når en algoritme (som SHA-1) brugt til signering af certifikater bliver knækket, henviser Google i blogindlægget til et forskningsindlæg fra 2008.
Blandt forfatterne er blandt andet talsmanden for TOR-netværket Jacob Appelbaum. Indlægget handler om en anden hash-algoritme MD5.
Forfatterne fortæller, hvordan de har opdaget en sårbarhed, der som følge af netop hash-kollisioner i MD5 gør dem i stand til at signere et hvilket som helst certifikat og få en browser til at godtage det. Det betyder, at de kan udgive sig for at være et vilkårligt site på nettet, eksempelvis en netbank.
MD5 bliver ikke anset som egnet til at signere SSL-certifikater med længere.
Ved at begynde udfasningen af SHA-1 forsøger Google at komme af med algoritmen, inden angreb bliver praktisk ladsiggørlige som med MD5.
Og det synes direktør i Solido Networks med forstand på netværkssikkerhed Henrik Kramshøj er helt fornuftigt.
»Det er et supertiltag til at forbedre sikkerheden. Hvis man har et certifikat, som løber så længe, og IKKE bruger noget bedre end SHA-1, skal man skifte - så dermed bør man allerede nu tage det skridt at forny certifikatet,« skriver han i en mail.
Coop: Det er irriterende
René Munk-Nissen fra Coop deler ikke begejstringen.
»Jeg synes faktisk, det er lidt irriterende,« siger han.
Til trods for, at Googles fremgangsmåde måtte vække irritation, bevirker den tilsyneladende også, at SHA-1-certifikatet nu bliver opdateret hos Coop. Ikke bare for bank-hjemmesiden, men også for webshoppen, der også har en rød streg over hængelåsen.
»Det er noget, vi arbejder på at få fjernet, så vi ikke går i rødt så at sige. Vi mener ikke, tilstanden er rød, og derfor er jeg lidt generet over den røde farve. Men nu er den der, og jeg medgiver, at det giver noget forvirring, hvilket ikke er heldigt,« siger René Munk-Nissen.
Inden den seneste udgave af Chrome satte en rød streg over hængelåsen i visse tilfælde, var der ifølge tidsplanen i Googles blogindlæg fra 2014 en gul trekant ved hængelåsen. Når Coop ikke har skiftet certifikatet endnu, handler det om prioriteringer, forklarer René Munk-Nissen.
»Vi prioriterer selvfølgelig hele tiden vores it-indsats. Og vi er i gang med det her, så i løbet af nogle ganske få måneder har vi fuldført en opgradering til det nye certifikat.«
Også hos Erhvervsstyrelsen, hvor hængelåsen ligeledes har fået en rød streg, lader Googles tiltag til at have sat skub i certifikatopdateringen. It-driftschef i styrelsen Ole Widriksen oplyser i en mail:
»Det er vigtigt at pointere, at erhvervsstyrelsen.dk stadig tilgås med en sikker forbindelse og altså ikke er usikker at besøge, selv om det ser sådan ud, når man anvender Chrome-browseren. Erhvervsstyrelsen arbejder på en snarlig løsning, der vil give brugerne den ønskede tryghed, og således ikke giver Chrome-brugerne indtryk af, at erhvervsstyrelsen.dk er usikker at besøge.«
En ny og mere sikker hashfunktion i SHA-2-familien er SHA256. Sikkerhedsvirksomheden Qualys blogger mere om SHA256 og udfasningen af SHA-1 her
Version2 har også forsøgt at få en kommentar fra Yousee, der også får en rød streg over hængelåsen i Chrome version 42 som følge af, hvad der ser ud til at skyldes et SHA-1-certifikat, der udløber efter 2016. Det er ikke lykkedes at få en kommentar fra Yousee.
Opdateret kl. 11:09 7. maj 2015
Artiklen var oprindeligt uden en kommentar fra Erhvervsstyrelsen, men i mellemtiden er styrelsen vendt tilbage. Artiklen er således opdateret med en kommentar fra it-driftschef i Erhvervsstyrelsen Ole Widriksen.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.