Artikel top billede

Google advarer: Falske certifikater udstedt til vores domæner

Der er udstedt falske sikkerhedscertifikater til en række af Googles webdomæner.

Det er Google selv, der har opdaget, at en kinesisk CA'er (certificate authority), MCS Holdings, udstedte uautoriserede sikkerhedscertifikater.

Det skriver Adam Langley, der er sikkerhedsansvarlig hos Google, i et blogindlæg.

Han forklarer, at Google med det samme gjorde China Internet Network Information Center (CNNIC) og alle de store browser-producenter opmærksomme på problemet og blokerede for MCS Holdings certifikater i Chrome-browseren.

Google skriver dog samtidig, at sagen er et alvorligt brud på hele CA-systemet, og at CNNIC har uddelegeret sin autorisation til en organisation, der ikke var egnet til det.

"Denne begivenhed understreger også endnu engang, at indsatsen for 'certificate transparency' er kritisk for at beskytte certifikaterne i fremtiden," lyder det fra Google.

Sikkerhedscertifikaterne bruges til at kryptere webforbindelser og til at sikre, at de besøgende kan være sikre på, at det er den ægte hjemmeside, de besøger. Det ser brugerne konkret ved, at siden er markeret som en HTTPS-side. 

Google vurderer ikke, at der har fundet misbrug sted i forbindelse med de falske sikkerhedscertifikater, men sagen er med til at prikke til et i forvejen ømtåleligt diskussion om en grundlæggende sikkerhedsforanstaltning på nettet, nemlig sikkerhedscertifikaterne.  

Derfor kan der opstå problemer med sikkerheden

Sikkerhedsforskere fra universitetet i Amsterdam og i Delft har tidligere kritiseret markedsmodellen bag certifikaterne og HTTPS, der bruges når du eksempelvis går ind på netbanken, indberetter nye oplysninger til Skat, handler i en online-butik eller tilgår din webmail.

HTTPS har udviklet sig til en standard for sikker webbrowsing i forening med SSL/TLS, men sikkerhedsforskerne peger på, at selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, de såkaldte CA'er (certificate authority), halter.

Ivan Bjerre Damgård, der er professor ved Institut for Datalogi på Aarhus Universitet og forsker i kryptologi, har tidligere [url=forklaret til Computerworld, at hele CA-modellen står og falder med, om man kan have tillid til de virksomheder, der udsteder certifikaterne. 

"Man skal huske, at de her certificate authorities lever af at sælge tillid. De certificerer jo en nøgle som værende en, der hører til et bestemt firma eller en bestemt person. Den sikkerhed, du har for, at du taler med den rigtige på nettet, er kun så god, som den tillid du har til den pågældende CA."

Ivan Bjerre Damgård forklarede, at HTTPS-systemet har visse udfordringer - blandt andet, at der mangler et fælles internationalt regelsæt for, hvordan man bliver CA.

"Alt det her har udviklet sig meget vildtvoksende forstået på den måde, at der jo aldrig rigtig har været nogle generelle regler på det her område, som man kunne referere til. Hvad skal en CA'er i virkeligheden gøre for at være god nok?"

"Systemet er udviklet ved knobskydning, og uden at nogen har tænkt over, hvad normerne egentlig skal være for, at en CA er god nok. Det burde vi blive enige om internationalt," lød det fra kryptologi-forskeren fra Aarhus Universitet.

Læs også:

Vakler HTTPS-modellen så vi ikke kan stole på de "sikre" websider?

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er HTTPS alt for usikkert




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Dynamics 365 & Business Central - AI og branchemoduler

Udforsk, hvordan du kommer godt i gang med Business Central, får hjælp til at tilpasse platformen til dine behov og får mest ud af din ERP-løsning med begrænsede ressourcer.

23. oktober 2024 | Læs mere


Årets CISO 2024

Vær med når Computerworld, Dansk Erhverv og Rådet for Digital Sikkerhed tager temperaturen på trusselslandskabet lige nu, og giver dig overblikket over de nyeste trusler, de mest aktuelle tendenser og de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

24. oktober 2024 | Læs mere


Compliance Day 2024: Faret vild i regulativer og direktiver? Få overblik over dem alle

Få et overblik over, hvordan du holder din virksomhed og organisation compliant uden at overimplementere og dermed undgår at bruge unødige ressourcer. Du får desuden indsigt i en række digitale værktøjer, som kan give dig ro i maven og hjælpe dig i dit arbejde med at holde virksomheden compliant på alle punkter.

30. oktober 2024 | Læs mere