Chromen käyttäjät tuntevat SSL-varmenteen
Nettiselainten näyttävät varoitustekstit suojaamattomilla sivustoilla toimivat. Tai ainakin ne on huomattu. Samaan aikaan varmenteiden myöntäjien vaatimukset ovat kiristyneet.
”Lopettakaa vanhan tilaston siteeraaminen! Tänä vuonna 67 prosenttia Chromen Windows-käyttäjistä huomasi SSL-sertifikaatin puuttumisesta kertovan varoitustekstin. Neljä vuotta sitten vastaava luku oli 30 prosenttia”, pyysi Google Chromen turvallisuustiimissä työskentelevä Adrienne Porter Felt hiljattain Twitterissä.
Vuoden 2017 alun päivityksissä Googlen Chrome ja Mozillan Firefox alkoivat näyttää ”Not secure” -merkinnän aivan osoitekentän vieressä SSL-suojaamattomilla, arkaluontoista dataa käsittelevillä sivustoilla. Tällaisia ovat muun muassa sivustot, joille käydään kauppaa tai joihin voi kirjautua. Aiemmin SSL-sertifikaatin puuttumisesta tai virheellisyydestä ilmaistiin pelkällä i-merkinnällä, jota klikkaamalla paljastui, ettei sertifikaattia ole tai siinä on puutteita.
Telian varmenneasiantuntija Pekka Lahtiharjun mukaan SSL-sertifikaattien roolista on keskusteltu kuluneen vuoden aikana erityisen paljon.
”Kun HTTPS-yhteyttä on alettu vaatimaan yhä useammalta sivustolta, varmenteiden painoarvo koko yhteiskunnassa on kasvanut”, Lahtiharju sanoo.
Kaksi varmenteiden myöntäjää menetti luottamuksensa
Yksi kuluneen vuoden spektaakkeleista varmennemaailmassa oli SHA1-tiivistealgoritmin murtaminen. Asialla olivat Googlen ja CWI:n tutkijat. Verkkokaupan ja -asioinnin tukipilarina yli 20 vuotta toimineen algoritmin matemaattisista heikkouksista tiedettiin jo vuosia sitten. Siksi suurin osa varmenteiden myöntäjistä oli jo siirtynyt hyvissä ajoin SHA2-algortimiin. Kaikki eivät kuitenkaan toimineet vastuullisesti.
Kun matemaattiset heikkoudet paljastuivat Chrome, Firefox ja Explorer ilmoittivat, etteivät niiden selaimet hyväksy enää vanhaa tiivistettä vuoden 2016 jälkeen myönnetyissä varmenteissa. Kaksi varmenteiden myöntäjää, WoSign ja StartCom, yrittivät kiertää selainten vaatimukset väärentämällä myöntämisajankohdan uusiin varmenteisiin.
Kun Mozillan työntekijät havaitsivat huijauksen, he pyysivät varmenteiden myöntäjiä korjaamaan toimintaansa. WoSign ja StartCom kuitenkin kiistivät syytökset ja kieltäytyivät korjaamasta toimintatapaansa. Mozilla ja muut selaimet reagoivat ilmoittamalla lopettavansa näiden kahden CA:n varmenteisiin luottamisen.
”Käsittääkseni tämä on ensimmäinen kerta, kun varmenteiden myöntäjä kieltäytyy yhteistyöstä selainvalmistajien kanssa. Jos on ollut ongelmia aiemmin, niin varmenteiden myöntäjät ovat aina korjanneet virheelliset menettelyt selainvalmistajien pyynnöstä”, Lahtiharju sanoo.
Lahtiharju sanoo.
Sertifikaattien voimassaoloaika lyhenee
Selainten ja varmenteiden myöntäjien yhteistyöelimessä CA Browser Forumissa päätettiin viime keväänä, että OV-tason varmenteiden voimassaoloaika lyhenee kahteen vuoteen. Muutos astuu voimaan vuonna 2018.
Varmenteiden sisältämien tietojen ”parasta ennen päivää” aikaistettiin jo tänä vuonna. Nyt varmenteissa saa käyttää ainoastaan tietoja, jotka niiden myöntäjä on tarkastanut maksimissaan kaksi vuotta sitten. Aiemmin varmenteiden myöntäjien oli mahdollista käyttää kolme vuotta sitten hankittuja tietoja.
”Varmenteiden voimassaoloaikojen lyhentämistä perustellaan sillä, että maailmaa muuttuu koko ajan nopeammin. Toimenpiteellä pyritään pitämään huoli, etteivät varmenteet sisältäisi väärää tietoa”, sanoo Lahtiharju.
Teksti: Tomi Eklund
Kuva: Shutterstock