av Martin Brinkmann på August 24, 2018 i Firefox, Google Chrome – Ingen kommentarer
Internett-brukere vil snart oppleve en økning i personvern og sikkerhet advarsler vises av nettlesere som de bruker til å koble til Internett-sider.
Brukere av Google Chrome vil se en økning i “forbindelsen er ikke privat” sikkerhet meldinger og brukere av Mozilla Firefox vil motta mer “Advarsel: Potensiell sikkerhetsrisiko Videre” advarsler i nettleseren.
Google, Mozilla og annen nettleser beslutningstakere avslørt planer om å mistro alle sertifikater utstedt av Symantec i nettlesere i 2017. Flere sertifikater ble utstedt i det siste som ikke er i samsvar med bransjestandarder og etterforskning i saken avdekket at “Symantec hadde betrodd flere organisasjoner med evne til å utstede sertifikater uten passende eller nødvendig tilsyn”.
Google og Mozilla åpenbart et veikart for nettlesere til å mistro alle sertifikater utstedt av Symantec. Start oktober 2018, alle versjoner av Google Chrome, Mozilla Firefox og andre nettlesere vil mistro alle sertifikater utstedt av Symantec.
Internett-brukere som kjører utvikling versjoner av Chrome eller Firefox, for tiden Chrome Canary eller Utvikling, og Firefox hver Kveld, vil merke sertifikat advarsler når de kobler til nettsteder som bruker Symantec sertifikater.
En høy profil nettstedet som fremdeles bruker Symantec sertifikater er PayPal
Google Chrome
Google planer om å fjerne Symantec rotsertifikatet fra Chrome 70 ut 16. oktober 2018 på Stabil kanal. Det er da Chrome vil vise feilmeldinger når brukere prøver å koble til nettsteder som bruker Symantec problemer sertifikater.
Google Chrome varsel lyder:
Forbindelsen er ikke privat.
Angriperne kan være å prøve å stjele informasjon fra [NETTSTED] (for eksempel passord, meldinger eller kredittkort).
NET::ERR_CERT_SYMANTEC_LEGACY
Et klikk på feilmeldingen viser opplysninger som utsteder (som i tilfellet med PayPal er Symantec), men det er ingen alternativer for å omgå feil.
Mozilla Firefox
Mozilla planlegger å mistro Symantec rotsertifikatet i Firefox 63, ut oktober 2018 på Stabil kanal.
Mozilla Firefox viser en annen melding når du legger nettsteder med Symantec sertifikater i nettleseren.
Det lyder som følger:
Advarsel: Potensiell Sikkerhetsrisiko Fremover
Firefox oppdaget en potensiell sikkerhetstrussel, og ikke fortsette å [NETTSTED]. Hvis du besøker dette nettstedet, er angripere kunne prøve å stjele informasjon som passord, e-post eller kredittkort detaljer.
[NETTSTED] har en sikkerhetspolicy som heter HTTP Strenge Transport Security (HSTS), noe som betyr at hver Kveld kan du bare koble til det klikker på plass. Du kan ikke legge til et unntak for å besøke dette nettstedet.
Ingen mulighet til å omgå advarsel er gitt.
Nettside og server administratorer og organisasjoner har til oktober for å håndtere problemet på hånden. Det er nødvendig å skifte ut Symantec-sertifikat med et sertifikat som er utstedt av en sertifiseringsinstans som fortsatt er til å stole på. Symantec kjøpt flere sertifiseringsinstanser som Thawte eller RapidSSL i det siste og sertifikater som er utstedt av disse selskapene må byttes ut også.
Avsluttende Ord
Internett-brukere vil se en økning i personvern og sikkerhet advarsler på Internett. Mange selskaper vil bytte til et annet sertifikat før fristen, men ikke alle vil gjøre i tid eller i det hele tatt.
Nå er Du: Gjorde du møte Symantec-relaterte sertifikatet problemer i det siste allerede? (via Caschy)
Videre lesing:
- Mistillit til Symantec PKI: Umiddelbar handling som trengs av nettstedet operatører
- Mistillit til Symantec-TLS-Sertifikater
- Google: tidslinje for distrusting alle Symantec Sertifikater i Chrome