Ο Chrome δεν εμπιστεύεται πλέον τη Symantec

 

Το τελευταίο διάστημα ίσως να έχεις διαβάσει για την άτυπη αντιπαράθεση που έχει ξεκινήσει ανάμεσα σε Google και Symantec. Αν δεν έχεις ιδέα, να σου πω ότι αφορμή στάθηκε μια ανακοίνωση που δημοσιεύτηκε στις 23 Μαρτίου σε ένα online Google forum “δια χειρός” Ryan Sleevi, Software Engineer του Chrome, ο οποίος ουσιαστικά εξηγούσε γιατί ο δημοφιλής browser έχει χάσει την εμπιστοσύνη του σε μια από τις μεγαλύτερες εταιρείες παροχής λογισμικού προστασίας στο διαδίκτυο.

Η αρχή της ιστορίας

Κατά τη διάρκεια έρευνας που ξεκίνησε τον Ιανουάριο από τη Google, σύμφωνα με την ανακοίνωση, εξετάστηκαν 127 περιπτώσεις ηλεκτρονικών πιστοποιητικών SSL/TLS, τα οποία φαίνεται ότι είχαν εκδοθεί με ψευδείς πληροφορίες ή χωρίς να έχει γίνει η απαραίτητη επαλήθευση της κυριότητας του domain από συνεργάτη της Symantec που λειτουργεί ως Αρχή Εγγραφής (RA). H Google αναφέρει ότι η έρευνα ολοκληρώθηκε, θέτοντας υπό αμφισβήτηση την εγκυρότητα τουλάχιστον 30.000 πιστοποιητικών που εκδόθηκαν από τη Symantec σε μια περίοδο αρκετών ετών.

Τα αποτελέσματα της έρευνας, και ένα περιστατικό που είχε σημειωθεί το 2015 -με πρωταγωνιστές τις δύο μεγάλες εταιρείες- αποτελούν τα στοιχεία εκείνα που φαίνεται ότι ώθησαν τη Google στο να πάρει μέτρα για την προστασία των online καταναλωτών.

Τα μέτρα που προτείνει η Google

Για να αποκατασταθεί η εμπιστοσύνη και η ασφάλεια ως προς τη Symantec, η Google προτείνει τα καινούργια Symantec πιστοποιητικά που εκδίδονται να έχουν ισχύ 9 μήνες ή και λιγότερο, για να ελαχιστοποιηθούν οι επιπτώσεις που μπορεί να προκύψουν από ένα παράτυπο πιστοποιητικό ασφαλείας.

Στη συνέχεια, σε μια προσπάθεια για να πιστοποιηθούν και να αντικατασταθούν εκ νέου όλα τα πιστοποιητικά Symantec, προτείνει ένα πρόγραμμα το οποίο θα μειώσει τη χρονική περίοδο διάρκειας τους, βάση μιας σειράς realease εκδόσεων του Google Chrome.

Το προτεινόμενο πρόγραμμα είναι το εξής:
Chrome 59 (Dev, Beta, Stable): 33 months validity (1023 days)
Chrome 60 (Dev, Beta, Stable): 27 months validity (837 days)
Chrome 61 (Dev, Beta, Stable): 21 months validity (651 days)
Chrome 62 (Dev, Beta, Stable): 15 months validity (465 days)
Chrome 63 (Dev, Beta): 9 months validity (279 days)
Chrome 63 (Stable): 15 months validity (465 days)
Chrome 64 (Dev, Beta, Stable): 9 months validity (279 days)

Τέλος, αναφέρει ότι εξετάζει την αφαίρεση της πράσινης μπάρας -σήμανσης- για την εκτεταμένη ασφάλεια που προσφέρουν τα Symantec EV SSL τουλάχιστον για ένα χρόνο μέχρι το IT οικοσύστημα να είναι σίγουρο ότι η πολιτική και οι πρακτικές της εταιρείας, όσον αφορά την έκδοση των πιστοποιητικών SSL/TLS, είναι οι ίδιες με αυτές που έχουν συμφωνηθεί για όλες τις αρχές έκδοσης -CA (Certificate Authorities).

Επίσημη ανακοίνωση από κάποιον άλλο web browser σχετικά με το θέμα δεν υπάρχει, πέρα από την ανάρτηση που έκανε στο ίδιο forum o Gervase Markham, Policy Engineer του Mozilla, ο οποίος με τη σειρά του, εξέφρασε τις δικές του σκέψεις σχετικά με το πώς θα μπορούσε να αντιμετωπιστεί καλύτερα η συγκεκριμένη κατάσταση προκειμένου να μην δημιουργηθεί ανασφάλεια στους οnline καταναλωτές και στην ψηφιακή αγορά.

H απάντηση απο τη Symantec

H απάντηση της Symantec ήταν άμεση, ξεκαθαρίζοντας αρχικά ότι δεν περίμεναν η Google να κινηθεί με αυτόν τον τρόπο, χαρακτηρίζοντας το post που έγινε από τη μεριά της ανεύθυνο. Συνεχίζει αναφέροντας ότι ο αριθμός των παράτυπων πιστοποιητικών που παρουσιάζει η Google είναι υπερβολικός και παραπλανητικός, καθώς δεν ανταποκρίνεται στην πραγματικότητα. Τονίζει ότι έχουν ληφθεί όλα τα απαραίτητα μέτρα για να ομαλοποιηθεί η κατάσταση, ενώ διαβεβαίωσε τους καταναλωτές ότι μπορούν να συνεχίσουν να εμπιστεύονται τα πιστοποιητικά Symantec. Η εταιρεία ανέφερε ότι η διαδικασία έκδοσης γίνεται βάση των προδιαγραφών που έχει θέσει η βιομηχανία ενώ συνεχώς προσπαθεί να εξελίσσει και να βελτιώνει τις πρακτικές της. Σε καινούργια ανακοίνωση της, μας ενημερώνει για την εξέλιξη της υπόθεσης, καθώς οι συζητήσεις με τη Google και άλλους φορείς της IT βιομηχανίας βρίσκοντα σε εξέλιξη, για να βρεθεί μια κοινή λύση.

Ποιους αφορούν αυτές οι αλλαγές;

Θα πρέπει να γνωρίζεις ότι αν χρησιμοποιείς στο website σου Symantec SSL για την κρυπτογράφηση των συναλλαγών αλλά και των προσωπικών στοιχείων των πελατών σου, όλα τα δεδομένα παραμένουν ασφαλή. Ωστόσο, αν έχεις EV SSL από τη Symantec θα πρέπει να εξετάσεις τις επιλογές σου, αφού η πράσινη γραμμή με το λουκέτο-σήμα κατατεθέν της αξιοπιστίας μιας Extended Validation σύνδεσης HTTPS -σύμφωνα με την πρόταση του Chrome, θα αφαιρεθεί για τουλάχιστον 12 μήνες απ’ όλα τα Symantec EV SSL. Η ένδειξη αυτή είναι πολύ σημαντική καθώς πλέον οι περισσότεροι online καταναλωτές αναγνωρίζουν το συγκεκριμένο χαρακτηριστικό που πιστοποιεί ότι η σελίδα που έχουμε επισκεφθεί είναι αξιόπιστη και τα προσωπικά μας στοιχεία είναι ασφαλή.

Ασφάλεια πάνω απ’ όλα!

Όπως έχουμε πει σε πρόσφατο blog post, πλέον, η σύνδεση HTTPS δεν αποτελεί επιλογή, καθώς με ανακοίνωση της η Google είχε κάνει σαφές ότι το SSL είναι απαραίτητο ό,τι site κι αν έχεις. Διαφορετικά σου “σημαδεύει” το site ως μη ασφαλές! Ο Chrome έχει ήδη ξεκινήσει από τον Ιανουάριο του 2017 να σηματοδοτεί αρνητικά όσα sites δεν χρησιμοποιούν κρυπτογράφηση. Έχει προχωρήσει σε αυτές τις κινήσεις για να μειώσει την ανησυχία των online καταναλωτών και να ενισχύσει την ασφάλεια, ελαττώνοντας τις πιθανότητες απάτης ενός χρήστη που επισκέπτεται ένα site.

 

Πώς μπορώ να επιλέξω το κατάλληλο πιστοποιητικό για το site μου;

Τα SSL πιστοποιητικά χωρίζονται σε τρεις κατηγορίες ανάλογα το επίπεδο πιστοποίησης που απαιτείται για να εκδοθούν:

1. Το Domain Validation (DV), παρέχει προστασία βασικού επιπέδου. Η επιχείρηση ή το φυσικό πρόσωπο που αιτείται το πιστοποιητικό πρέπει απλά να επιβεβαιώσει ότι το domain name είναι έγκυρο και του ανήκει.

2. To Οrganisation Validation (OV), προσφέρει προστασία και πιστοποίηση υψηλότερου επιπέδου. Ο οργανισμός ή η εταιρεία που αιτείται το πιστοποιητικό πρέπει, εκτός από την ιδιοκτησία του domain name, να επιβεβαιώσει και εταιρικά στοιχεία.

3. Και το Extended Validation (EV) που αποτελεί την πιο δυνατή δικλείδα ασφαλείας, καθώς για να δοθεί το “πράσινο φως” απαιτείται αυστηρός έλεγχος παγκόσμιων προδιαγραφών από την αρμόδια αρχή έκδοσης.

Επίσης ανάλογα με τα domains που μπορεί να καλύψει ένα SSL, γίνεται ο παρακάτω διαχωρισμός σε:

Standard SSL (Οne website protection), είναι ο απλούστερος τύπος SSL και μπορεί να καλύψει ένα domain (website).

Multi-Domain SSL (Multiple website protection), μπορεί να καλύψει πολλαπλά και διαφορετικά domain names κάτω από ένα ενιαίο πιστοποιητικό SSL.

Wildcard SSL (One website Protect & Subdomains), μπορεί να καλύψει πολλαπλά subdomains ενός domain.

Βασική προστασία για να έχεις τη Google με το μέρος σου!

Tο Domain Validation SSL μπορεί να καλύψει τις ανάγκες ενός προσωπικού blog ή ενός site μικρής επιχείρησης.

Ταυτοποίησε την επιχείρηση σου online για να εμπιστεύονται οι επισκέπτες το site σου!

Tο Organisation Validation SSL είναι αυτό που χρειάζεται μια σελίδα όπου καταχωρούνται προσωπικά δεδομένα ή ανήκει σε μικρο-μεσαία επιχείρηση με online συναλλαγές.

Η πράσινη μπάρα στο eShop σου για να αυξήσεις τις πωλήσεις σου!

Έχεις eShop, ή ψάχνεις πως να πιστοποιήσεις website το οποίο ανήκει σε τραπεζικό ή οικονομικό οργανισμό, ή σε κάποιο μεγάλο φορέα δημόσιο ή ιδιωτικό που καταχωρεί προσωπικά δεδομένα; Αυτό που χρειάζεσαι είναι το Extended Validation SSL, που σου παρέχει ισχυρή προστασία.

Μην ανησυχείς αν δεν έχεις καταφέρει να αποφασίσεις ποιο SSL αποτελεί τη σωστή επιλογή για τη σελίδα σου! Η ομάδα εξυπηρέτησης μας είναι στη διάθεση σου για να λύσει ό,τι απορίες έχεις σχετικά με τα πιστοποιητικά SSL και να σε βοηθήσει να επιλέξεις αυτό που ταιριάζει στις ανάγκες σου.

Σχετικά με 

Δεχόμαστε χιλιάδες πληροφορίες καθημερινά και κάπου εδώ εμφανίζομαι εγώ για να σας διευκολύνω. Μέσα από το Blog του Papaki προσπαθώ να καλύψω όλο το φάσμα της ενημέρωσης για ό,τι σας απασχολεί και θέλετε να μάθετε σχετικά με το site σας και τις υπηρεσίες μας.