HTTPS-ageddon: Symantec-certifikater på vej ud af Chrome - har du tjek på dit site?
En opdatering af Chrome, der kommer til april, bevirker, at der ikke længere er tillid til SSL/TLS-certifikater udstedt af Symantec i Googles udbredte browser. Altså den type certifikater, der kort fortalt giver en grøn hængelås i browserens adressefelt, og som signalerer til brugeren, at alt umiddelbart er, som det skal være.
Som det tidligere har været fremme, har Google mistet tilliden til Symantec som certifikat-udsteder. Det fortæller Google mere om, blandt andet i denne sikkerhedsblog fra september 2017, som er opdateret i januar i år, og som denne artikel også læner sig op ad.
Google har begrundet tiltaget med flere sager, hvor Symantec har udstedt certifikater ved en fejl, blandt andet til google.com.
Infrastruktur
Som følge af polemikken har Symantec overdraget opgaven med at udstede certifikater til DigiCert, der siden 1. december 2017 har leveret platformen til dette.
Certifikater udstedt under DigiCert betegner vi for overskuelighedens skyld som certifikater udstedt under den nye infrastruktur, mens den tidligere Symantec-platform i denne sammenhæng er den gamle infrastruktur.
I udgangspunktet har de kommende udgaver af Chrome tillid til certifikater udstedt under den nye infrastruktur.
I forhold til den gamle infrastruktur så vil Chrome fra version 66 give sikkerhedsadvarsler i tilfælde, hvor et domæne beror på et Symantec-rod-certifikat, der er udstedt før 1. juni 2016 og efter 1. december 2017 .
Chrome version 66 står til at blive frigivet i den endelige udgave 17. april. Fra Chrome version 70, der er sat til at lande 23. oktober, vil ingen Symantec-rod-certifikater, som er udstedt under den gamle infrastruktur, i udgangspunktet blive anset for at være sikre.
Her vil der dog ifølge Google-blogindlægget være enkelte undtagelser.
Som The Register bemærker, så er det selvfølgelig ikke ALLE, der anvender Chrome, og som dermed vil opleve advarslerne som følge af Googles bandlysning af Symantec, men mange bruger browseren.
Og som website-indehaver er det i sagens natur ikke en ønskværdig situation, at besøgende bliver mødt med en advarsel om, at noget er galt med sikkerheden på sitet.
Problemets omfang
I forhold til problemets omfang så har sikkerhedsmand Arkadiy Tetelman, der præsenterer sig selv som ansat hos Airbnb, sat et script sammen. Det fortæller han mere om i dette blogindlæg, hvor han også kommer med en udlægning af kontroversen mellem Google og Symantec.
Sidstnævnte virksomhed synes i øvrigt, at Googles reaktion er skudt fuldstændig forbi målet. Det fortæller Symantec mere om her.
Hvad Tetelmans script angår, så tager det i eksemplet på bloggen afsæt i Amazons liste over populære hjemmesider, benævnt Alexa Top 1 Million sites. Listen ligger her i zip-format.
I blogindlægget fortæller Tetelman i detaljer, hvordan han har sat scriptet sammen, så det detekterer sites, hvor TLS-beror på certifikater, de kommende udgaver af Chrome vil finde problematiske.
Efter at have scannet Alexa-listen igennem - det tog ca. 11 timer - er Tetelman nået frem til, at 11.510 domæner beror på et certifikat, som den Chrome, der udkommer til april, vil finde problematisk. Og 91.627 domæner vil blive ramt, når Chrome version 70 udkommer til oktober.
Mængden af scannede domæner endte med at være noget større end en million, da Tetelman også har scannet for sub-domænet www, der ellers er strippet fra Alexa-listen.
Ud over at lægge koden til sit script ud på GitHub her, så har Tetelman også lagt listerne med domæner ud, som scanning - på scanningstidspunktet - indikerer vil få problemer. April-listen ligger her. Og Oktorber-listen ligger her.
Medarbejdersignatur.dk
Der er flere danske domæner - også på april-listen, der altså bliver aktuel lige om lidt.
Et af domænerne på april-listen er medarbejdersignatur.dk Det hører under Nets og relaterer sig til NemID-medarbejdersigantur. Klikker man ind på domænet, så meldes der, at certifikatet er udstedt af Thawte, som er et brand under Symantec.
Version2 har spurgt Nets, om man er opmærksom på den kommende situation. Det korte svar er, at det er man.
Af et lidt længere svar fra pressekontakt hos Nets Mads Allingstrup fremgår det, at virksomheden er opmærksom på, at der både sker ændringer i Chrome til april og til oktober, og derudover er man hos Nets »opmærksomme på problemet, og udskifter certifikater i god tid inden de udløber«.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
