Spændende gæsteindlæg af Morten fra Symantec

Lad mig først og fremmest forklare, hvad der sker med nogle af de sikkerhedsadvarsler, du kan få vist i din webbrowser, når et SSL-certifikat er udløbet. Når du besøger et websted og starter en sikker session (f.eks. ved at logge på din webmail), vil den server, der fungerer som vært for webstedet, præsentere din browser for et SSL-certifikat for at bekræfte dens identitet. Dette certifikat indeholder forskellige former for identitetsoplysninger, inklusive webstedets URL-adresse. Alle disse oplysninger er blevet godkendt af et tredjepartscertificeringscenter (såsom Symantec), som din browser har tillid til. Ved at kontrollere, at adressen i certifikatet matcher webstedets adresse, og at certifikatet stadig er gyldigt, er det muligt at bekræfte, at du kommunikerer sikkert med det websted, du har til hensigt at kommunikere med – og ikke en svindler, f.eks. en netkriminel, der prøver at stjæle dit brugernavn og din adgangskode. Så hvis du nogensinde får vist en advarsel som den, der var i mit forrige indlæg, bør du ikke fortsætte til webstedet.

Hvad med en advarsel om et SSL-certifikat, der i øjeblikket er gyldigt og ikke er udløbet? Udstederen af hvert enkelt certifikat er ansvarlig for udarbejdelsen af en tilbagekaldelsesliste, der ofte kaldes en OCSP (Online Certificate Status Protocol) og tidligere blev kaldt en liste over tilbagekaldte certifikater (se en forklaring af OSCP og SSL-tilbagekaldelse (på engelsk)). Hvorfor har dette betydning? For nogle få år siden blev et nøglecenter (CA) med navnet DigiNotar i dén grad kompromitteret, da en iransk hacker fik fat på falske certifikater til over 20 internetdomæner, herunder nogle velkendte offentlige webmail- og instant messaging/tale-tjenester, og alle de større webbrowserleverandører måtte fjerne al tillid fra DigiNotars nøglecentre. Hvis folk havde ignoreret browseradvarslerne, var deres logonoplysninger blevet stjålet, og eventuelle private oplysninger eller detaljer på disse konti var faldet i hænderne på tyveknægten. DigiNotar måtte dreje nøglen om, for efter hændelsen havde ingen tillid til deres certifikater. Hvis et SSL-certifikat bliver kompromitteret, kan udstederen tilbagekalde det og føje domænenavnet til tilbagekaldelseslisten, så browsere efterfølgende ikke længere har tillid til det specifikke certifikat på det specifikke websted.

Det er ikke nødvendigt at opretholde tilbagekaldelsesstatus for udløbne certifikater; måske var certifikatet på det websted, du besøger, gyldigt en gang. Hvis du får vist en advarsel, hvor der står, at certifikatet er udløbet, bør du ikke fortsætte, og jeg mener, at som en del af et større tillidsfællesskab bør du kontakte virksomheden via telefon eller e-mail for at lade dem vide, hvorfor du ikke vil logge på deres websted.

Der er selvfølgelig andre grunde til, at brugere kan få vist advarsler på websteder:

  • SSL-certifikatet er ikke installeret korrekt.
  • Webbrowseren har ikke tillid til det udstedende certificeringscenter (på engelsk).
  • Webstedet anvender et selvsigneret certifikat (hvilket betyder, at browseren ikke har tillid til rodcertifikatet).
  • Webstedet kan være inficeret med malware, og en søgemaskine har sortlistet webstedet.

Hvad kan en virksomhed gøre for at undgå sikkerhedsadvarsler?

  • Først skal du sørge for, at dit SSL-certifikat er korrekt installeret. Brug SSL Toolbox  til at kontrollere installationen.
  • Du kan overveje at bruge Qualys værktøj til serverkontrol (på engelsk) til at bekræfte, at du har installeret hele certifikatkæden korrekt, deaktiveret tidligere, sårbare protokoller og nøgler og bekræftet, at alt er, som det burde være mht. SSL-implementeringen på dit websted.
  • Lav kalenderpåmindelser om udløbsdatoen for dit SSL-certifikat, og husk, at det i mange tilfælde kan fornys helt op til 90 dage, før det udløber. Du bliver ikke straffet for at forny det før tid – faktisk er det best practice.
  • I en stor virksomhed med mange certifikater kan du overveje en løsning, såsom Symantecs Certificate Intelligence Center, der overvåger og automatisk kan forny og administrere dine Symantec SSL-certifikater.
  • Scan dit websted regelmæssigt for malware og sårbarheder.
  • Og husk, at som kunde hos Symantec kan du kontakte vores supportteam døgnet rundt og få hjælp med alle disse problemer.

Tillid er altafgørende, når det drejer sig om e-handel og onlinekommunikation. Vores kunder har fortjent, at vi har styr på tingene.

More