Artikel top billede

Google advarer: Falske certifikater udstedt til vores domæner

Der er udstedt falske sikkerhedscertifikater til en række af Googles webdomæner.

Det er Google selv, der har opdaget, at en kinesisk CA'er (certificate authority), MCS Holdings, udstedte uautoriserede sikkerhedscertifikater.

Det skriver Adam Langley, der er sikkerhedsansvarlig hos Google, i et blogindlæg.

Han forklarer, at Google med det samme gjorde China Internet Network Information Center (CNNIC) og alle de store browser-producenter opmærksomme på problemet og blokerede for MCS Holdings certifikater i Chrome-browseren.

Google skriver dog samtidig, at sagen er et alvorligt brud på hele CA-systemet, og at CNNIC har uddelegeret sin autorisation til en organisation, der ikke var egnet til det.

"Denne begivenhed understreger også endnu engang, at indsatsen for 'certificate transparency' er kritisk for at beskytte certifikaterne i fremtiden," lyder det fra Google.

Sikkerhedscertifikaterne bruges til at kryptere webforbindelser og til at sikre, at de besøgende kan være sikre på, at det er den ægte hjemmeside, de besøger. Det ser brugerne konkret ved, at siden er markeret som en HTTPS-side. 

Google vurderer ikke, at der har fundet misbrug sted i forbindelse med de falske sikkerhedscertifikater, men sagen er med til at prikke til et i forvejen ømtåleligt diskussion om en grundlæggende sikkerhedsforanstaltning på nettet, nemlig sikkerhedscertifikaterne.  

Derfor kan der opstå problemer med sikkerheden

Sikkerhedsforskere fra universitetet i Amsterdam og i Delft har tidligere kritiseret markedsmodellen bag certifikaterne og HTTPS, der bruges når du eksempelvis går ind på netbanken, indberetter nye oplysninger til Skat, handler i en online-butik eller tilgår din webmail.

HTTPS har udviklet sig til en standard for sikker webbrowsing i forening med SSL/TLS, men sikkerhedsforskerne peger på, at selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, de såkaldte CA'er (certificate authority), halter.

Ivan Bjerre Damgård, der er professor ved Institut for Datalogi på Aarhus Universitet og forsker i kryptologi, har tidligere [url=forklaret til Computerworld, at hele CA-modellen står og falder med, om man kan have tillid til de virksomheder, der udsteder certifikaterne. 

"Man skal huske, at de her certificate authorities lever af at sælge tillid. De certificerer jo en nøgle som værende en, der hører til et bestemt firma eller en bestemt person. Den sikkerhed, du har for, at du taler med den rigtige på nettet, er kun så god, som den tillid du har til den pågældende CA."

Ivan Bjerre Damgård forklarede, at HTTPS-systemet har visse udfordringer - blandt andet, at der mangler et fælles internationalt regelsæt for, hvordan man bliver CA.

"Alt det her har udviklet sig meget vildtvoksende forstået på den måde, at der jo aldrig rigtig har været nogle generelle regler på det her område, som man kunne referere til. Hvad skal en CA'er i virkeligheden gøre for at være god nok?"

"Systemet er udviklet ved knobskydning, og uden at nogen har tænkt over, hvad normerne egentlig skal være for, at en CA er god nok. Det burde vi blive enige om internationalt," lød det fra kryptologi-forskeren fra Aarhus Universitet.

Læs også:

Vakler HTTPS-modellen så vi ikke kan stole på de "sikre" websider?

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er HTTPS alt for usikkert




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Erhvervsakademiet Lillebælt
Udvikling og salg af klassebaseret undervisning, blandt andet inden for multimedie og it.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere


Digital transformation og innovation: Inspiration til digitale succeshistorier

Kom ind bag facaden hos nogle af Danmarks bedste it-folk, og lær hvordan de arbejder med digital transformation og innovation. Du får muligheden for at høre, hvordan du kan bruge den nye teknologi til at få etableret det mest effektive udviklings- og innovationsmilø.

19. maj 2021 | Læs mere


Internationale dataoverførsler: Bananrepublikker og spionage

Det er nu lovpligtigt at dokumentere beskyttelsesniveauet af persondata, når de overføres til tredjelande. Vi sætter derfor fokus på, hvordan virksomhederne styrer deres internationale dataoverførsler fri af tredjelandes overvågning. Vi dykker samtidig ned i hele det spegede kompleks omkring Schrems II, FISA 702 og EO 12.333, og hvordan det spiller sammen med dansk fortolkning og praksis.

25. maj 2021 | Læs mere






Premium
Vigtig opdatering på vej til Windows: Får omsider din HDR-skærm til at funkle
Microsofts Windows 10-styresystem vil i fremtiden kunne arbejde bedre med de flotte farver og den høje kontrast, som HDR-skærme tilbyder.
Computerworld
Nye informationer om det største iPhone-hack nogensinde ser dagens lys: 128 millioner brugere blev ramt
Hidtil hemmeligholdte detaljer om verdens største iPhone-hack er kommet frem under retssagen mellem Apple og Epic Games. 128 millioner brugere blev ramt, og mere end 4.000 apps blev inficeret. Se detaljerne her.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Hvordan ser kundetilfredshed ud i det moderne kontaktcenter?
Det er simpelt: Dine kunder får de svar, som de har brug for, gennem deres fortrukne kanal, med forbløffende hastighed. Gå ikke glip af denne e-bog, hvor vi gennemgår alt hvad du behøver at vide omkring Cisco Webex Contact Center.