Artikel top billede

Google advarer: Falske certifikater udstedt til vores domæner

Der er udstedt falske sikkerhedscertifikater til en række af Googles webdomæner.

Det er Google selv, der har opdaget, at en kinesisk CA'er (certificate authority), MCS Holdings, udstedte uautoriserede sikkerhedscertifikater.

Det skriver Adam Langley, der er sikkerhedsansvarlig hos Google, i et blogindlæg.

Han forklarer, at Google med det samme gjorde China Internet Network Information Center (CNNIC) og alle de store browser-producenter opmærksomme på problemet og blokerede for MCS Holdings certifikater i Chrome-browseren.

Google skriver dog samtidig, at sagen er et alvorligt brud på hele CA-systemet, og at CNNIC har uddelegeret sin autorisation til en organisation, der ikke var egnet til det.

"Denne begivenhed understreger også endnu engang, at indsatsen for 'certificate transparency' er kritisk for at beskytte certifikaterne i fremtiden," lyder det fra Google.

Sikkerhedscertifikaterne bruges til at kryptere webforbindelser og til at sikre, at de besøgende kan være sikre på, at det er den ægte hjemmeside, de besøger. Det ser brugerne konkret ved, at siden er markeret som en HTTPS-side. 

Google vurderer ikke, at der har fundet misbrug sted i forbindelse med de falske sikkerhedscertifikater, men sagen er med til at prikke til et i forvejen ømtåleligt diskussion om en grundlæggende sikkerhedsforanstaltning på nettet, nemlig sikkerhedscertifikaterne.  

Derfor kan der opstå problemer med sikkerheden

Sikkerhedsforskere fra universitetet i Amsterdam og i Delft har tidligere kritiseret markedsmodellen bag certifikaterne og HTTPS, der bruges når du eksempelvis går ind på netbanken, indberetter nye oplysninger til Skat, handler i en online-butik eller tilgår din webmail.

HTTPS har udviklet sig til en standard for sikker webbrowsing i forening med SSL/TLS, men sikkerhedsforskerne peger på, at selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, de såkaldte CA'er (certificate authority), halter.

Ivan Bjerre Damgård, der er professor ved Institut for Datalogi på Aarhus Universitet og forsker i kryptologi, har tidligere [url=forklaret til Computerworld, at hele CA-modellen står og falder med, om man kan have tillid til de virksomheder, der udsteder certifikaterne. 

"Man skal huske, at de her certificate authorities lever af at sælge tillid. De certificerer jo en nøgle som værende en, der hører til et bestemt firma eller en bestemt person. Den sikkerhed, du har for, at du taler med den rigtige på nettet, er kun så god, som den tillid du har til den pågældende CA."

Ivan Bjerre Damgård forklarede, at HTTPS-systemet har visse udfordringer - blandt andet, at der mangler et fælles internationalt regelsæt for, hvordan man bliver CA.

"Alt det her har udviklet sig meget vildtvoksende forstået på den måde, at der jo aldrig rigtig har været nogle generelle regler på det her område, som man kunne referere til. Hvad skal en CA'er i virkeligheden gøre for at være god nok?"

"Systemet er udviklet ved knobskydning, og uden at nogen har tænkt over, hvad normerne egentlig skal være for, at en CA er god nok. Det burde vi blive enige om internationalt," lød det fra kryptologi-forskeren fra Aarhus Universitet.

Læs også:

Vakler HTTPS-modellen så vi ikke kan stole på de "sikre" websider?

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er HTTPS alt for usikkert




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere