Ο Chrome δεν εμπιστεύεται πλέον τη Symantec
Το τελευταίο διάστημα ίσως να έχεις διαβάσει για την άτυπη αντιπαράθεση που έχει ξεκινήσει ανάμεσα σε Google και Symantec. Αν δεν έχεις ιδέα, να σου πω ότι αφορμή στάθηκε μια ανακοίνωση που δημοσιεύτηκε στις 23 Μαρτίου σε ένα online Google forum “δια χειρός” Ryan Sleevi, Software Engineer του Chrome, ο οποίος ουσιαστικά εξηγούσε γιατί ο δημοφιλής browser έχει χάσει την εμπιστοσύνη του σε μια από τις μεγαλύτερες εταιρείες παροχής λογισμικού προστασίας στο διαδίκτυο.
Η αρχή της ιστορίας
Κατά τη διάρκεια έρευνας που ξεκίνησε τον Ιανουάριο από τη Google, σύμφωνα με την ανακοίνωση, εξετάστηκαν 127 περιπτώσεις ηλεκτρονικών πιστοποιητικών SSL/TLS, τα οποία φαίνεται ότι είχαν εκδοθεί με ψευδείς πληροφορίες ή χωρίς να έχει γίνει η απαραίτητη επαλήθευση της κυριότητας του domain από συνεργάτη της Symantec που λειτουργεί ως Αρχή Εγγραφής (RA). H Google αναφέρει ότι η έρευνα ολοκληρώθηκε, θέτοντας υπό αμφισβήτηση την εγκυρότητα τουλάχιστον 30.000 πιστοποιητικών που εκδόθηκαν από τη Symantec σε μια περίοδο αρκετών ετών.
Τα αποτελέσματα της έρευνας, και ένα περιστατικό που είχε σημειωθεί το 2015 -με πρωταγωνιστές τις δύο μεγάλες εταιρείες- αποτελούν τα στοιχεία εκείνα που φαίνεται ότι ώθησαν τη Google στο να πάρει μέτρα για την προστασία των online καταναλωτών.
Τα μέτρα που προτείνει η Google
Για να αποκατασταθεί η εμπιστοσύνη και η ασφάλεια ως προς τη Symantec, η Google προτείνει τα καινούργια Symantec πιστοποιητικά που εκδίδονται να έχουν ισχύ 9 μήνες ή και λιγότερο, για να ελαχιστοποιηθούν οι επιπτώσεις που μπορεί να προκύψουν από ένα παράτυπο πιστοποιητικό ασφαλείας.
Στη συνέχεια, σε μια προσπάθεια για να πιστοποιηθούν και να αντικατασταθούν εκ νέου όλα τα πιστοποιητικά Symantec, προτείνει ένα πρόγραμμα το οποίο θα μειώσει τη χρονική περίοδο διάρκειας τους, βάση μιας σειράς realease εκδόσεων του Google Chrome.
Το προτεινόμενο πρόγραμμα είναι το εξής:
Chrome 59 (Dev, Beta, Stable): 33 months validity (1023 days)
Chrome 60 (Dev, Beta, Stable): 27 months validity (837 days)
Chrome 61 (Dev, Beta, Stable): 21 months validity (651 days)
Chrome 62 (Dev, Beta, Stable): 15 months validity (465 days)
Chrome 63 (Dev, Beta): 9 months validity (279 days)
Chrome 63 (Stable): 15 months validity (465 days)
Chrome 64 (Dev, Beta, Stable): 9 months validity (279 days)
Τέλος, αναφέρει ότι εξετάζει την αφαίρεση της πράσινης μπάρας -σήμανσης- για την εκτεταμένη ασφάλεια που προσφέρουν τα Symantec EV SSL τουλάχιστον για ένα χρόνο μέχρι το IT οικοσύστημα να είναι σίγουρο ότι η πολιτική και οι πρακτικές της εταιρείας, όσον αφορά την έκδοση των πιστοποιητικών SSL/TLS, είναι οι ίδιες με αυτές που έχουν συμφωνηθεί για όλες τις αρχές έκδοσης -CA (Certificate Authorities).
Επίσημη ανακοίνωση από κάποιον άλλο web browser σχετικά με το θέμα δεν υπάρχει, πέρα από την ανάρτηση που έκανε στο ίδιο forum o Gervase Markham, Policy Engineer του Mozilla, ο οποίος με τη σειρά του, εξέφρασε τις δικές του σκέψεις σχετικά με το πώς θα μπορούσε να αντιμετωπιστεί καλύτερα η συγκεκριμένη κατάσταση προκειμένου να μην δημιουργηθεί ανασφάλεια στους οnline καταναλωτές και στην ψηφιακή αγορά.
H απάντηση απο τη Symantec
H απάντηση της Symantec ήταν άμεση, ξεκαθαρίζοντας αρχικά ότι δεν περίμεναν η Google να κινηθεί με αυτόν τον τρόπο, χαρακτηρίζοντας το post που έγινε από τη μεριά της ανεύθυνο. Συνεχίζει αναφέροντας ότι ο αριθμός των παράτυπων πιστοποιητικών που παρουσιάζει η Google είναι υπερβολικός και παραπλανητικός, καθώς δεν ανταποκρίνεται στην πραγματικότητα. Τονίζει ότι έχουν ληφθεί όλα τα απαραίτητα μέτρα για να ομαλοποιηθεί η κατάσταση, ενώ διαβεβαίωσε τους καταναλωτές ότι μπορούν να συνεχίσουν να εμπιστεύονται τα πιστοποιητικά Symantec. Η εταιρεία ανέφερε ότι η διαδικασία έκδοσης γίνεται βάση των προδιαγραφών που έχει θέσει η βιομηχανία ενώ συνεχώς προσπαθεί να εξελίσσει και να βελτιώνει τις πρακτικές της. Σε καινούργια ανακοίνωση της, μας ενημερώνει για την εξέλιξη της υπόθεσης, καθώς οι συζητήσεις με τη Google και άλλους φορείς της IT βιομηχανίας βρίσκοντα σε εξέλιξη, για να βρεθεί μια κοινή λύση.
Ποιους αφορούν αυτές οι αλλαγές;
Θα πρέπει να γνωρίζεις ότι αν χρησιμοποιείς στο website σου Symantec SSL για την κρυπτογράφηση των συναλλαγών αλλά και των προσωπικών στοιχείων των πελατών σου, όλα τα δεδομένα παραμένουν ασφαλή. Ωστόσο, αν έχεις EV SSL από τη Symantec θα πρέπει να εξετάσεις τις επιλογές σου, αφού η πράσινη γραμμή με το λουκέτο-σήμα κατατεθέν της αξιοπιστίας μιας Extended Validation σύνδεσης HTTPS -σύμφωνα με την πρόταση του Chrome, θα αφαιρεθεί για τουλάχιστον 12 μήνες απ’ όλα τα Symantec EV SSL. Η ένδειξη αυτή είναι πολύ σημαντική καθώς πλέον οι περισσότεροι online καταναλωτές αναγνωρίζουν το συγκεκριμένο χαρακτηριστικό που πιστοποιεί ότι η σελίδα που έχουμε επισκεφθεί είναι αξιόπιστη και τα προσωπικά μας στοιχεία είναι ασφαλή.
Ασφάλεια πάνω απ’ όλα!
Όπως έχουμε πει σε πρόσφατο blog post, πλέον, η σύνδεση HTTPS δεν αποτελεί επιλογή, καθώς με ανακοίνωση της η Google είχε κάνει σαφές ότι το SSL είναι απαραίτητο ό,τι site κι αν έχεις. Διαφορετικά σου “σημαδεύει” το site ως μη ασφαλές! Ο Chrome έχει ήδη ξεκινήσει από τον Ιανουάριο του 2017 να σηματοδοτεί αρνητικά όσα sites δεν χρησιμοποιούν κρυπτογράφηση. Έχει προχωρήσει σε αυτές τις κινήσεις για να μειώσει την ανησυχία των online καταναλωτών και να ενισχύσει την ασφάλεια, ελαττώνοντας τις πιθανότητες απάτης ενός χρήστη που επισκέπτεται ένα site.