Artikel top billede

Google advarer: Falske certifikater udstedt til vores domæner

Der er udstedt falske sikkerhedscertifikater til en række af Googles webdomæner.

Det er Google selv, der har opdaget, at en kinesisk CA'er (certificate authority), MCS Holdings, udstedte uautoriserede sikkerhedscertifikater.

Det skriver Adam Langley, der er sikkerhedsansvarlig hos Google, i et blogindlæg.

Han forklarer, at Google med det samme gjorde China Internet Network Information Center (CNNIC) og alle de store browser-producenter opmærksomme på problemet og blokerede for MCS Holdings certifikater i Chrome-browseren.

Google skriver dog samtidig, at sagen er et alvorligt brud på hele CA-systemet, og at CNNIC har uddelegeret sin autorisation til en organisation, der ikke var egnet til det.

"Denne begivenhed understreger også endnu engang, at indsatsen for 'certificate transparency' er kritisk for at beskytte certifikaterne i fremtiden," lyder det fra Google.

Sikkerhedscertifikaterne bruges til at kryptere webforbindelser og til at sikre, at de besøgende kan være sikre på, at det er den ægte hjemmeside, de besøger. Det ser brugerne konkret ved, at siden er markeret som en HTTPS-side. 

Google vurderer ikke, at der har fundet misbrug sted i forbindelse med de falske sikkerhedscertifikater, men sagen er med til at prikke til et i forvejen ømtåleligt diskussion om en grundlæggende sikkerhedsforanstaltning på nettet, nemlig sikkerhedscertifikaterne.  

Derfor kan der opstå problemer med sikkerheden

Sikkerhedsforskere fra universitetet i Amsterdam og i Delft har tidligere kritiseret markedsmodellen bag certifikaterne og HTTPS, der bruges når du eksempelvis går ind på netbanken, indberetter nye oplysninger til Skat, handler i en online-butik eller tilgår din webmail.

HTTPS har udviklet sig til en standard for sikker webbrowsing i forening med SSL/TLS, men sikkerhedsforskerne peger på, at selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, de såkaldte CA'er (certificate authority), halter.

Ivan Bjerre Damgård, der er professor ved Institut for Datalogi på Aarhus Universitet og forsker i kryptologi, har tidligere [url=forklaret til Computerworld, at hele CA-modellen står og falder med, om man kan have tillid til de virksomheder, der udsteder certifikaterne. 

"Man skal huske, at de her certificate authorities lever af at sælge tillid. De certificerer jo en nøgle som værende en, der hører til et bestemt firma eller en bestemt person. Den sikkerhed, du har for, at du taler med den rigtige på nettet, er kun så god, som den tillid du har til den pågældende CA."

Ivan Bjerre Damgård forklarede, at HTTPS-systemet har visse udfordringer - blandt andet, at der mangler et fælles internationalt regelsæt for, hvordan man bliver CA.

"Alt det her har udviklet sig meget vildtvoksende forstået på den måde, at der jo aldrig rigtig har været nogle generelle regler på det her område, som man kunne referere til. Hvad skal en CA'er i virkeligheden gøre for at være god nok?"

"Systemet er udviklet ved knobskydning, og uden at nogen har tænkt over, hvad normerne egentlig skal være for, at en CA er god nok. Det burde vi blive enige om internationalt," lød det fra kryptologi-forskeren fra Aarhus Universitet.

Læs også:

Vakler HTTPS-modellen så vi ikke kan stole på de "sikre" websider?

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er HTTPS alt for usikkert




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Skab en bedre bundlinje ved at gentænke rammerne i kampen om fremtidens talenter

Mennesker er forskellige og medarbejdere arbejder forskelligt. Nøglen til succes for fremtidens virksomheder er at tage udgangspunkt i de ansattes forskellige og individuelle behov. Kort sagt behandler du dine medarbejdere ens ved at behandle dem forskelligt

07. februar 2023 | Læs mere


Undgå cyberkatastrofen med automatiseret kontrol over sensitive data

Når cyberkriminelle gennemtrænger din sikkerhedsinfrastruktur, bruger de i snit 48 dage til at danne sig et overblik over sensitive data, før de lukker dine systemer og data ned med ransomware. På dette seminar får du derfor et solidt grundlag for at sikre dig overblik over sensitive, virksomhedskritiske informationer. Derudover vil du få et praktisk indblik i, hvordan du beskytter dine informationer, så du er er mindre sårbar når cyberkriminelle trænger ind på dit netværk, samt et overblik over typiske angrebsformer og viden om, hvordan et ransomwareangreb foregår i praksis.

07. februar 2023 | Læs mere


Status og erfaringer fra fem år med GDPR

Vi samler nogle af Danmarks fremmeste GDPR-eksperter trådene efter knapt fem år. Dette giver dig et solidt overblik over de hidtidige erfaringer og sikker viden at basere din indsats på, når du skal planlægge og tilpasse din organisations indsats for at sikre compliance med det omfattende regelkompleks.

07. februar 2023 | Læs mere