Artikel top billede

Mozilla truer certifikat-udstedere

Mozilla har nu givet alle certifikat-udstedere en frist på en uge til at forbedre deres sikkerhed. Apple tøver stadig.

I kølvandet på Diginotar-angrebet har Mozilla nu stillet krav om at alle certifikat-udstedere skal forbedre deres sikkerhed. I et brev til CA'erne (Certification Authorities) forlanger Mozilla en række konkrete skridt, herunder at brugere som har adgang til at udstede certifikater skal anvende mere end blot et simpelt kodeord for at logge sig ind (multi-factor authentication).

CA'erne har fået indtil næste fredag til at leve op til kravene - ellers kan de risikere at blive slettet som troværdige certifikat-udstedere fra Firefox-browseren, ligesom det er sket med Diginotar.

Når man besøger et SSL-krypteret websted viser browseren et grafisk symbol - f.eks. en hængelås - for at indikere at forbindelsen er beskyttet. Det digitale certifikat bruges til at kontrollere, at sitet er ægte.

Hvis man forfalsker certifikatet, og samtidig kan lokke brugeren ind på en falsk side, kan man altså risikere at den krypterede forbindelse peger mod f.eks. en falsk Google- eller Microsoft-side trods hængelås-symbolet.

Der er mere end 600 certifikat-udstedere, og det er måske for mange. Kaspersky Lab mener at der kan være brug for en grundlæggende ændring af certifikat-systemet.

Adobe har netop som de seneste fjernet Diginotar som troværdig certifikat-udsteder, men Apple har stadig ikke reageret. Ifølge CRN.com har Apple i modsætning til Google, Microsoft og Mozilla endnu ikke udsendt en opdatering som lukker for Diginotar-certifikater.

"Jeg er ikke helt overrasket. De er fantastiske til innovation, men de er ikke et teknologi-selskab. Jeg ser dem mere som et salgs- og marketingfirma," siger Daniel Duffy fra sikkerheds-leverandøren Valley Network Solutions.

Efter angrebet mod certifikat-udstederen Comodo tidligere i år - som muligvis blev udført af den samme hacker som også er trængt ind hos Diginotar - gik der en hel måned, inden Apple var klar med en sikkerhedsopdatering. Det tyder på, at der kan gå lige så lang tid denne gang.

Hvis Apple bliver opfattet som fodslæbende i sin sikkerheds-politik kan det gøre det sværere for Apple at trænge igennem hos virksomheds-kunderne, hvor sikkerhed har en meget høj prioritet.

På sine mobile platforme har Apple hidtil kunne udnytte, at man har stram kontrol med iOS og applikationerne i App Store - i modsætning til Android - og Mac-computernes begrænsede udbredelse har gjort, at de har været forskånet for mange af de angreb der har ramt Windows. Det kan ændre sig fremover.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere