Firefox 3 skræmmer brugerne med SSL-advarsler

Et ekstra lag sikkerhed har givet problemer for Firefox 3. Websider med ukendte eller for gamle SSL-certifikater dømmes ude af browseren, og det er gået ud over blandt andet Google og Linkedin.

En massiv advarsel og blokering er resultatet, hvis en Firefox 3-bruger prøver at besøge sikre websider, der ikke har orden i SSL-certifikaterne, men ellers er troværdige nok. Det skriver Networkworld.com.

Websider, der krypterer kommunikationen over internettet med SSL-protokollen (secure sockets layer), skal bruge et SSL-certifikat, ligesom de bruges til at bevise, at en webside er til at stole på.

Hvis SSL-certifikatet ikke er udstedt af en kendt udbyder, eller det er udløbet, får brugeren i den nye Firefox-browser en advarselsskærm at se med et stop-ikon på. Der er mulighed for at vige uden om blokeringen, men det frarådes kraftigt af Firefox. Den almindelige internetsurfer vil derefter typisk opgive at besøge websiden eller tro, den er et usikkert bekendtskab.

Mozilla, der står bag Firefox, har forsvaret funktionen og siger, at certifikater fra ukendte udbydere ikke er troværdige, og at for gamle certifikater giver frit løb for hackere.

Desuden er ?man-in-the-middle?-angreb, hvor besøgende ledes til et falsk website af hackere, blevet langt mere udbredte. Troværdige SSL-certifikater er derfor et vigtigt middel til at sikre, at man er havnet på den rigtige webside, lyder det fra Mozilla.

Kritikere mener, at titusindvis af websider vil være ramt af sikkerhedsfunktionen i Firefox 3, og at det skaber unødig frygt blandt de mindre avancerede internetbrugere. Desuden vil det betyde, at kun certifikater fra bestemte firmaer kan bruges. Blandt de websites, der bliver advaret imod, er Gmail, Google Checkout, den amerikanske hærs webside og Linkedin.

Det er i øvrigt ikke det eneste problem, Linkedin slås med i øjeblikket. En ellers ret almindelig funktion som grupper har været plaget af fejl og mangler i lang tid ? for eksempel at det ikke var muligt at søge efter en gruppe.

En ny opdatering skulle løse problemerne, men det har kun gjort alting værre. Med opdateringen forsvandt nemlig en række af de grundlæggende funktioner, der skal til for at administrere grupperne. Linkedin lover at løse problemerne i løbet af nogle uger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Flamber Hansen

Hvordan kan man sige, at den skræmmer? Den informerer brugeren, at den virksomhed (LinkedIN/Google/etc), de prøver at besøge, ikke har styr på deres sikkerhed.

Man kan da godt kalde det skræmmer. Og det er da kun godt. Hvis Firefox ikke valgte denne løsning, så ville virksomhederne nok ikke prioritere deres SSL certifikater lige så højt.

Nu er det altså over to måneder siden, at Firefox 3 blev udgivet. Og der har været debat om denne funktion fra dag et, da den blev introduceret.

  • 0
  • 0
#3 Lars Clausen

I stedet for alle de der advarsler og pop-op boxe, der er til konstant irritation for brugeren, så burde man have lavet en browser der i sig selv er sikker.

Det er jo bare at fjerne baggrundsscript handling, og forhindre script adgang til såvel harddisk som externe RAM områder (altså uden for selve browserens arbejdsområde).

Jeg læste engang en bog om ASP, hvor der er en funktion der læser og opdaterer cookies på clienten, altså brugerens computer, når han besøger et websted. Og det er altså serveren der gør det i baggrunden, uden at brugeren bliver involveret.

Afsnittet beskrev hvordan man opdaterede et brugernummer og besøgsdato, i en cookie med et bestemt filnavn. Sidst i afsnittet stod der så, at funktionen også kunne bruges til andre filer end cookies, men det ville man af sikkerhedsmæssige årsager ikke beskrive nærmere.

Hvis den slags kan lade sig gøre, så er der da noget helt helt galt i den måde softwarehusene tænker sikkerhed.

Luk enhver form for scripting der har adgang til andet end den lokale sandkasse, så har man en browser med indbygget sikkerhed. Det er da ikke så svært. (Men der er nok nogle reklamebureauer der bliver sure når deres ad-tracking ikke længere fungerer :-)

  • 0
  • 0
#4 Klavs Klavsen

Hej Lars,

Det er altså noget vrøvl du siger der.

Hvis man ikke checker om SSL certifikatet er gyldigt, er man kun sikker på at have en krypteret forbindelse og på ingen måde med hvem.

udløbsdatoen og listen af de kendte udstedere tjener til at sikre imod "man-in-the-middle" angreb (så man f.ex. ikke kan fuske med din dns server - så du får en anden IP for f.ex. din bank - og så sætter en server op der sender dine forespørgsler videre til banken (eller bare laver en side magen til ) og opsnapper dine kodeord).

Hvis brugeren tror han snakker med banken - og så skriver sine kodeord kan det ikke løses ved at skrive det du kalder en "sikker browser" - man er nødt til at tage SSL certifikater og den sikkerhed de forsøger at etablere alvorligt.

  • 0
  • 0
#5 Lars Clausen

Jo det er rigtig nok Klavs, men den slags stortrives jo allerede på nettet, og bliver åbenbart ikke forhindret af de eksisterende SSL kontroller. Måske fordi 99 ud af 100 brugere af nettet ikke aner hvad SSL er for noget, og hvad det betyder. Og derfor ej heller hvad en firefox 3 pop-op advarsel om et forældet SSL certifikat skal betyde. Det er jo ikke alle der er computernørder ligesom os læsere af Version 2. :-)

Der kommer også i forvejen en konstant lind strøm af irrelevante pop-op advarsler fra alle mulige programmer, så man klikker jo bare på dem efterhånden for at få dem til at forsvinde, så man kan se det reghneark man arbejder i, eller den præsentation man er ved at give for 200 publikummer. Det er en evig kamp mod 'Trådløse netværk er fundet' og 'Der er opdateringer klar, klik her for at genstarte'. Grrrrrr

Derfor mener jeg man skal fjerne skjulte farer, i stedet for at forsøge at forhindre folk i at opføre sig dumt på nettet, (ved fx at gå ind på sider med forældet SSL certifikat). Hvilket man ikke kan.

Hvis man skulle lave noget med SSL certifikatet, så skulle siden simpelthen fjernes fra DNS serveren, i samme øjeblik SSL certifikatet var forældet. Dermed kunne man fjerne den sikkerhedsrisiko. Men et pop-op vindue, mener jeg er blot endnu et irritationsmoment.

Hackersider hvor SSL certifikatet ikke er forældet, vil jo heller ikke udløse en pop-op alarm alligevel.

  • 0
  • 0
#7 Peter Mogensen

Det er jo MENINGEN at brugerne skal blive "skræmte" - nok til at tænke sig om. Og det er MENINGEN at brugerne ikke blot skal default-accepterer certifikater, der er udløbet eller ikke udstedt af en "trusted" part. Hvad i alverden tror de ellers udløbsdato'en og certifikatet ellers er til for?!!?? Hvad pokker ville ideen være i at man lavede et system til at sikre at man kunne stole på et site, hvis det kunne fremvise et certifikat underskreven af nogen man stoler på, hvis man så bagefter totalt ignorerede om det så også var tilfældet??? Google Checkout, den amerikanske hærs webside, Linkedin og evt. andre kritikere af FireFox på det punkt skulle tage en tudekiks og se at få styr på deres certifikater. (hvis det altså er det som er problemet - har ikke checket).

Personligt ville jeg mene at Firefox3's måde at håndtere TLS på er noget af det mest fornuftige på det punkt, der er lavet længe.

  • 0
  • 0
#8 Søren Løvborg

Umiddelbart virker det som om advarslen skal skræmme hjemmesidens ejermand til at rette sine certifikater, snarere end at skræmme brugeren.

Brugerens sikkerhed forbedres nemlig IKKE at denne advarsel.

Problemet er at Firefox 3 advarer mod sider, der sandsynligvis er legitime, men blot ikke har styr på deres SSL-certifikater. En phishing-side derimod bruger typisk slet ikke SSL, og dermed får brugeren ingen advarsel overhovedet!

Her er det så vigtigt at brugeren kan finde ud af at kigge efter hængelåsikonet osv... og her vil jeg argumentere for at den rette måde at håndtere ugyldige SSL-certifikater på simpelthen er at fjerne hængelåsikonet.

Den nuværende advarsel skader blot, da brugerne blot ledes til at tro at alle sikkerhedsbrister ledsages af et hissigt advarselsbillede, og ikke længere bemærker en manglende hængelås.

  • 0
  • 0
#9 Finn Christensen

af den ene/to jeg har oplevet med FF3. Det var virkeligt fælt ;-P

Tag dog legetøjet fra alle de børn, som alligevel ikke fatter en pind af sikkerhed. Køb trælegetøj fra Pædagogkram til dem i stedet for.. det er testet og meget sikkert.

  • 0
  • 0
#10 Jesper Lund Stocholm Blogger

Peter,

Problemet er vel som sådan ikke, at FF3 advarer imod nogle SSL-fejl (jeg har i øvrigt ikke selv oplevet disse, som nævnes i artiklen). Problemet er snarere, at brugerne ikke aner, hvad fejlen går ud på og derfor ikke tager dem seriøst.

Hvis fx min far fik denne fejl at se, så ville han sandsynligvis ringe til mig (jeg har jo oplært ham godt ;o), og han ringer faktisk til mig, hver gang hans bank fornyer deres java-applet og han bliver advaret om at godkende den) og jeg ville så forklare ham, hvad fejlen betød og hvad han skulle gøre. Jeg ville nok sige noget i denne retning til ham "Det er fordi Google har nogle problemer med deres certifikater, men du kan godt gå ind på siden alligevel". Men det er jo reelt hylende forkert, for det giver ham jo netop fornemmelsen af, at det er ok at ignorere advarslen.

Til gengæld kunne jeg ikke forestille mig, at jeg ville sige til ham: "Du er nødt til at vente med at købe dine varer til Google har rettet deres certifikat-fejl".

  • 0
  • 0
#12 Peter Mogensen

Hvis fx min far fik denne fejl at se, så ville han sandsynligvis ringe til mig

Godt. Så virkede det jo.

Men det er jo reelt hylende forkert, for det giver ham jo netop fornemmelsen af, at det er ok at ignorere advarslen.

Ja.

Til gengæld kunne jeg ikke forestille mig, at jeg ville sige til ham: "Du er nødt til at vente med at købe dine varer til Google har rettet deres certifikat-fejl".

Men hvis man ike må gøre brugerne tydeligt opmærksom på når de sikkerheds garantier, der er indbygget i TLS ikke overholdes, så er konsekvensen jo egentlig at vi skal afskaffe det. Jeg har virkelig svært ved at se ideen i at indføre et system hvor sikkerheden beror sig på at en "trusted" part har udstedt et certifikat til dig og man så for guds skyld ikke må gøre brugeren tydeligt opmærksom på, når det ikke er tilfældet.

  • 0
  • 0
#13 Anders Martinusen

Jeg har ikke selv den store erfaring med Firefox, men i min IE7 får jeg også en rimelig "larmende" advarsel hvis der er vrøvl med et certifikat:

Certificate Error: Navigation Blocked

There is a problem with this website's security certificate.

The security certificate presented by this website was issued for a different website's address.

Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.

We recommend that you close this webpage and do not continue to this website.

Click here to close this webpage.

Continue to this website (not recommended). More information

For more information, see "Certificate Errors" in Internet Explorer Help.

Og det er vel også sådan det bør være...?

  • 0
  • 0
#14 Michael Rasmussen

Du får også denne meddelelse, selvfølgeligt er ordlyden anderledes, ved udløbet certifikat eller ukendt CA. Så på dette område opfører Firefox sig altså ikke anderledes en IE7. Artiklen tager altså åbenbart udgangspunkt i en fortidig opfattelse af brugervenlighed, da alle browserudviklere idag er enige om en identisk fremgangsmåde. FF's og IE7's opførsel, hvad angår certifikater, findes også i nyeste Opera og Safari.

  • 0
  • 0
#16 Peter Mogensen

ja. Den bruger et self-signed certifikat. Hvis man ikke skulle advare om det, så ville enhver, der kunne reservere et domæne, der mindede lidt om din netbanks og udstede et certifikat til sig selv jo kunne narre folk, der tastede forkert og kun kiggede på din fine hængelås.

Problemet er ikke FireFox. Hvis certifikat-problemstillingen overhovedet skal præsenteres for brugeren (hvad den vel skal, hvis man overhovedet skal bruge systemet til noget), så gør FF3 det ganske fornuftigt.

  • 0
  • 0
#18 Anonym

Problemet er vel også at dem der udsteder certifikater tager sig vel betalt for det. Jeg har ikke kunnet finde noget certifikat til under 1500 kr pr år. Det er jo ikke noget problem hvis man er en større virksomhed, men for en lille forening eller for private er det jo immervæk en sjat...

  • 0
  • 0
#21 Lean Fuglsang

Hvis man har en self-signed signatur, har man potentielt højere sikkerhed end almindelig http, og man har ihvertfald ikke lavere sikkerhed. Advarslen må derfor afspejle denne situation, og være mindre irriterende end en almindelig http side...

  • 0
  • 0
#22 Anonym

Her kan du få et ganske gratis: http://www.cacert.org/

Når man bruger Firefox til at tilgå deres hjemmeside bliver man mødt af en certifikat advarsel.

Vi har endda en fin udbyder i danmark der kan gøre set: http://www.digitaltcertifikat.dk/

Deres biligste koster 750,- kr pr. år.

Prisen for et cetifikat skulle hellere ligge omkring prisen for et domæne omkring 100 kr. Det ville være mere rimeligt.

  • 0
  • 0
#24 Deleted User

Jeg mener man håndterer det forkert når man forhindrer brugeren i let at komme ind på en side, bare fordi der er noget galt med certifikatet.

Hvis siden kører uden SSL, så ryger jeg direkte ind. Ingen advarsler om at siden kan være usikker. Benytter jeg derimod SSL, og der er et eller andet galt med certifikatet, så får jeg derimod en masse advarsler smidt i hovedet, om at jeg er ved at foretage mig noget farligt. Det er på ingen måde mere farligt at gå ind på en side, hvor der er noget galt med certifikatet, end det er at gå ind på en side, der ikke anvender SSL overhovedet.

Et selvudstedt certifikat beskytter mig mod passiv aflytning på vejen mellem mig og den server jeg snakker med, et certifikat udstedt til somewhere.com er højst sandsynligt også gyldigt for www.somewhere.com, og et certifikat der udløb i går, er med stor sandsynlighed ligeså sikkert i dag. Jeg er udmærket klar over de forskellige angreb, der eksisterer hvis man ikke verificerer certifikaterne, men i de tilfælde hvor den sikkerhed ikke er påkrævet (et selvudstedt certifikat på min egen server, fordi jeg bare vil give folk mulighed for at læse indholdet uden at andre kan se præcist hvad de henter) er det IMO en fejl at brugere bliver skræmt over på en mindre sikker forbindelse. Alt andet lige ville overvågning af trafik på internettet være væsentlig sværere hvis fx alle websites kun var tilgængelige over SSL, selvudstedte certifikater eller ej.

Mit forslag til en løsning ville være at brugeren informeres af browseren hvis certifikatet er gyldigt, men hvis det ikke er, behandles forbindelsen på samme måde som en ganske almindelig HTTP forbindelse uden SSL. Brugeren skulle så kigge efter denne information når sikkerhed var tilpas vigtigt (fx ved overførsel af kreditkortnumre) på samme måde som brugeren i dag skal være opmærksom på, om der i det hele taget anvendes SSL når han skal til at betale med kreditkort. Der er ingen forskel. I begge tilfælde kræver det at brugeren er opmærksom på information fra browseren. Der er ingen grund til at straffe nogen for at browse et website der har et selvudstedt certifikat, og tvinge dem over på en, trods alt, mere usikker almindelig HTTP forbindelse.

  • 0
  • 0
Log ind eller Opret konto for at kommentere