Artikel top billede

Mozilla truer certifikat-udstedere

Mozilla har nu givet alle certifikat-udstedere en frist på en uge til at forbedre deres sikkerhed. Apple tøver stadig.

I kølvandet på Diginotar-angrebet har Mozilla nu stillet krav om at alle certifikat-udstedere skal forbedre deres sikkerhed. I et brev til CA'erne (Certification Authorities) forlanger Mozilla en række konkrete skridt, herunder at brugere som har adgang til at udstede certifikater skal anvende mere end blot et simpelt kodeord for at logge sig ind (multi-factor authentication).

CA'erne har fået indtil næste fredag til at leve op til kravene - ellers kan de risikere at blive slettet som troværdige certifikat-udstedere fra Firefox-browseren, ligesom det er sket med Diginotar.

Når man besøger et SSL-krypteret websted viser browseren et grafisk symbol - f.eks. en hængelås - for at indikere at forbindelsen er beskyttet. Det digitale certifikat bruges til at kontrollere, at sitet er ægte.

Hvis man forfalsker certifikatet, og samtidig kan lokke brugeren ind på en falsk side, kan man altså risikere at den krypterede forbindelse peger mod f.eks. en falsk Google- eller Microsoft-side trods hængelås-symbolet.

Der er mere end 600 certifikat-udstedere, og det er måske for mange. Kaspersky Lab mener at der kan være brug for en grundlæggende ændring af certifikat-systemet.

Adobe har netop som de seneste fjernet Diginotar som troværdig certifikat-udsteder, men Apple har stadig ikke reageret. Ifølge CRN.com har Apple i modsætning til Google, Microsoft og Mozilla endnu ikke udsendt en opdatering som lukker for Diginotar-certifikater.

"Jeg er ikke helt overrasket. De er fantastiske til innovation, men de er ikke et teknologi-selskab. Jeg ser dem mere som et salgs- og marketingfirma," siger Daniel Duffy fra sikkerheds-leverandøren Valley Network Solutions.

Efter angrebet mod certifikat-udstederen Comodo tidligere i år - som muligvis blev udført af den samme hacker som også er trængt ind hos Diginotar - gik der en hel måned, inden Apple var klar med en sikkerhedsopdatering. Det tyder på, at der kan gå lige så lang tid denne gang.

Hvis Apple bliver opfattet som fodslæbende i sin sikkerheds-politik kan det gøre det sværere for Apple at trænge igennem hos virksomheds-kunderne, hvor sikkerhed har en meget høj prioritet.

På sine mobile platforme har Apple hidtil kunne udnytte, at man har stram kontrol med iOS og applikationerne i App Store - i modsætning til Android - og Mac-computernes begrænsede udbredelse har gjort, at de har været forskånet for mange af de angreb der har ramt Windows. Det kan ændre sig fremover.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Dinner Roundtable: Sikre og skalerbare løsninger til den moderne komplekse infrastruktur

Traditionelle IT-sikkerhedsløsninger, såsom VPN'er, er ikke længere tilstrækkelige for de avancerede sikkerhedsbehov og kompleksiteten i moderne virksomheder. Det norske nationale cybersikkerhedscenter anbefaler derfor nu at erstatte SSLVPN/WebVPN-løsninger på grund af sårbarheder.

18. september 2024 | Læs mere


Nye forretningsmæssige gevinster med Microsoft Dynamics 365

Eksperter fra CGI stiller skarpt på hvordan, du lærer også hvorfor det er vigtigt at have fokus på både processer, teknologi og mennesker - og hvordan du kommer i gang med løbende optimering af forretningsudvikling.

25. september 2024 | Læs mere


NIS2: Indhold, krav og konsekvenser- sidste chance for at blive klar

Vi sætter på denne dag fokus på hvad NIS2-direktivet kommer til at betyde for din organisation. Du et overblik over direktivet og de skærpede krav, så du undgår bøder og sanktionering.

26. september 2024 | Læs mere