Computerworld News Service: Problemet med selv-underskrevne certifikater i Firefox 3.0 er nu skyld i, at forskere fra Carnegie Mellon har skrevet en tilføjelse, et såkaldt add-on, til Firefox.
Det ser ud til, at den herskende stemning er, at Mozilla bevæger sig i den rigtige retning.
I løbet af de sidste få uger er debatten intensiveret over en ny sikkerhedsfunktion i Firefox 3.0, der åbner et advarselsvindue, når et websites SSL-certifikat er udløbet eller ikke er udgivet af en "betroet tredjepart."
Kritikere hævder, at denne funktion forvirrer brugere, giver det indtryk, at sitet er i stykker og dikterer, hvilke certifikatudbydere (certificate authority, CA) man kan have tillid til og hvilke man ikke kan.
Carnegie Mellon University udgav i mandags en gratis Firefox-tilføjelse, der hjælper med at omgå advarslen uden at gå på kompromis med den sikkerhedsforbedring, der var hensigten.
Blog-kommentarer til Network Worlds artikel om sagen om Firefoxs håndtering af selv-underskrevne og udløbne certifikater synes at pege på, at mange mener, at Mozilla gør det rigtige, her i blandt visningen af disse advarsler om selv-underskrevne certifikater selv fra kilder, der tilsyneladende burde vække tillid såsom det amerikanske Forsvarsministerium.
Flertal bakker op om Mozilla
Selvom de fleste kommentarer kom fra anonyme brugere (hvilket ikke burde overraske, når man har at gøre med it-sikkerhedsfolk), så støttede et markant flertal synspunktet om et behov for høj sikkerhed på trods af den byrde, det muligvis pålægger brugere.
"Undskyld mig, men Mozilla har fat i den lange ende!" skrev en bruger, som identificerede sig selv som en, der arbejder med it-sikkerhed.
"Jeg har intet problem med den måde, hvorpå Firefox gør dette. (Okay, MÅSKE kunne de godt give mere 'brugervenlige' forklaringer, men jeg ingen problemer med dette, som det er!)"
Også andre stemte meldte deres støtte til forbedret sikkerhed.
"Jeg giver min støtte til advarslen - den kommer på høje tid efter min mening," skrev en anden blogger.
"Hvis en institution ikke kan punge ud med 15 dollars (godt 75 kroner) til et rigtigt certifikat, så skulle den måske pille sin webserver ned og kommunikere med sine kunder ved hjælp af normal post," skriver læseren David Backeberg.
"Og i sidste ende er der ikke noget til hinder for personligt at tilføje en udbyder af et selv-underskrevet certifikat til sin browsers liste over betroede certifikatudbydere."
En læser, som sandsynligvis er fra it-sikkerhedsfirmaet Venafi, henviste til en undersøgelse betalt af Venafi, som viser, at fejladministrerede krypteringsteknologier påvirker brugeres webadfærd negativt.
Den konkluderer, at 14 procent af alle certifikater fra tværs gennem Fortune 1000-virksomhederne er udløbet på enhver given dag. Herudover har der siden 2005 været en forøgelse på 67 procent af udløbne certifikater på internettet fra 8,4 procent til 14 procent.
Undersøgelsen viser også, at 48 procent af brugere føler sig trygge ved at gå ind på et website hos en virksomhed, de stoler på, hvilket muligvis kan forsvare undtagelsesreglerne i Firefox 3.0 eller den workaround, der er tilgængelig med tilføjelsen fra Carnegie Mellon, og som bærer navnet Perspectives.
Perspectives sætter et system af notarer op, lyder det i en blog-kommentar fra Carnegie Mellon-forskerne til Network Worlds artikel.
"Idéen er, at disse 'netværksnotar'-servere, der er fordelt over internettet, bruger netværks-'probing' til at opbygge et bagkatalog af nøgler brugt af en server. Når en klient modtager et selv-underskrevet eller udløbet certifikat, kan den sammenligne med de certifikater, som netværksnotarerne har noteret og på denne måde se, om nøglen er gyldig, eller om den er et led i et angreb fra en mellemmand."
Perspectives opfanger også, om en angriber har narret en af Firefoxs betroede certifikatudbyderne til på forkert grundlag at udgive et certifikat til et skadeligt website, og vil i det tilfælde advare brugeren.
En læser, der identificerede sig som "MarketObserver" opsummerede sagen i forhold til systemintegritet:
"Hvis certifikaterne skal kunne give den beskyttelse til forbrugerne, som det var hensigten, så de må være aktuelle og udgivet af en betroet kilde. Ellers fungerer systemet ikke. Websiteadministratorer må tage sig sammen og holde deres certifikater opdaterede."
Sagen blev også vendt på hovedet af en kommentator, som konkluderede:
"Selvom certifikatteknologien måske er sikker, så mener jeg, at denne forretningsmodel og -praksis ikke er det. Hele denne model med tillid er afhængig af, at der kun er nogle 'få' organisationer, som alle kender (og stoler på), og som så underskriver andres certifikater. Implicit i denne praksis ligger, at man også kan stole på, at disse 'få' organisationer laver en kritisk gennemgang af alle de folk, hvis certifikater, de underskriver."
"Jo flere steder din browser stoler på kan validere et certifikat, des større risiko er der for, at denne tillid bliver meningsløs."
Oversat af Thomas Bøndergaard
