Indikátory prohlížečů jsou špatné. Podpořte petici pro změnu
21.3.2017 | Jindřich Zechmeister
Bezpečnostní indikátory v prohlížečích se neustále mění, ale jsou pořád stejně nesrozumitelné a nejednotné. Dokonce ani silná snaha Chrome o zavedení třech symbolů nevedla ke sjednocení způsobu, jak prohlížeče certifikáty zobrazují. Chcete-li pomoci k nápravě tohoto zmatku, tak podpořte petici CA Security Council, která to chce změnit.
Zelený pruh, zámek, nebo nic?
Uživatelé počítače znalí internetové bezpečnosti vnímají bezpečnostní indikátory prohlížeče. Jedná se o známý zelený pruh s názvem firmy (EV certifikát), případně o zelený zámek. Tato praxe však neplatí zdaleka u všech prohlížečů. Některé neukazují nic, jiné ignorují EV certifikát a jeho informaci... DV a OV certifikáty nejsou nijak rozlišeny a uživatel se musí sám podívat do detailu SSL certifikátu.
Jaké jsou v současnosti hlavní problémy? Při zobrazování certifikátů panují tyto nedostatky:
- Chrome na Androidu neumí zobrazit EV certifikát
- Edge 20 rovněž nezobrazí název organizace v EV certifikátu
- Ostatní mobilní prohlížeče jako Opera nebo UC Mini rozdíl mezi certifikáty ignorují
Bezpečnostní výstrahy varující před vážným problémem (nedůvěryhodný či neplatný certifikát) jsou kapitola sama pro sebe a už z historických důvodů má každý výrobce prohlížeče zcela jiný přístup.
Níže najdete kompletní souhrn současných indikátorů a zobrazování SSL certifikátů v prohlížečích (kliknutím na náhled se otevře PDF v plném rozlišení), včetně chybových varování. Připravila ho organizace CA Security Council, která sdružuje významné certifikační autority. Situace se odborníkům nelíbí a proto ji chtějí změnit.
Aby zmatených návštěvníků internetu nebylo málo, tak se indikace neustále mění. Posledními novinkami v uživatelském rozhraní je varování u přihlašovacích dialogů.
Nelíbí se vám tento zmatek? Podpořte petici za zlepšení bezpečnostních indikátorů
Autoři výše uvedené filipiky proti zobrazování SSL certifikátů v prohlížečích iniciují petici za změnu současného stavu. V petici žádají splnění tří jednoduchých přání:
- Identita webových stránek je důležitá pro bezpečnost návštěvníka.
- Jednotlivé typy TLS certifikátů - DV, OV, EV - by měly mít jednoznačný indikátor ukazující uživateli, že web byl nezávisle ověřen.
- Prohlížeče by měly stupeň ověření (typ certifikátu) indikovat uživatelsky srozumitelným způsobem a každý typ by měl mít samostatnou sadu indikátorů.
Petice není pouze prázdné gesto
Petice CASC apelující na tvůrce prohlížečů není pouze prázdné gesto tohoto sdružení. Zobrazování bezpečnostních indikátorů v prohlížečích je skutečně zmatené a v mobilních zařízeních, ze kterých už na web přistupuje většina návštěvníků, je situace tristní.
Rozvoj SSL certifikátů v posledních letech by mohl vyvolat falešný pocit důvěry. I když bude hypoteticky každý web zabezpečen, tak to neznamená, že na webu není žádné riziko. Současným obrovským problémem jsou phishingové certifikáty od certifikačních autorit vydávající certifikáty zdarma. Největším vydavatelem "phishingových certifikátů" jsou Let's Encrypt a Comodo; tyto dvě CA dohromady vydají 95.5 % phishingových SSL certifikátů.
Certifikáty zneužité k phishingu podle CA
Dalším problémem je absence kontroly ze strany CA Let's Encrypt, která odmítá zasahovat do již vydaných certifikátů. Nejen, že žádosti o vydání certifikátů nekontroluje podobným způsobem jako ostatní CA (například oproti seznamu hodnotných a zneužívaných domén), ale zcela odmítá žádosti a vystavené certifikáty regulovat. Ve svém prohlášení tvrdí, že úkolem certifikační autority není kontrolovat zneužití domény a chránit návštěvníka. Logicky tedy nerevokuje ani certifikáty prokazatelně zneužité k phishingu.
S tím lze do určité míry souhlasit - zelená ikona zámku na webu neznamená, že je zcela bezpečný a nemůže se jednat o phishing. Na druhou stranu se certifikační autorita nemůže zbavit zodpovědnosti za vystavené certifikáty a ty zneužité by měla revokovat. Kontrolovat domény před vystavením certifikátu v Google Safe Browsing API, jak to Let's Encrypt dělá, nemá smysl. Žadatelé nejsou natolik hloupí, aby phishingový web prozradili ještě před získáním certifikátu.
Některé certifikační autority svým přístupem ohrožují bezpečnost uživatelů a zvyšují riziko phishingu. Ze strany některých prohlížečů je návštěvníkovi internetu ztěžována kontrola certifikátů a objevují se dokonce nápady na potlačení adresního řádku. Už teď například mobilní zařízení skrývají celé URL webu, na kterém se nacházíte; případný phishing tak odhalíte jen velice těžko. Prohlížeč vůbec nezobrazující adresní řádek by byl v kombinaci se schovanými detaily certifikátu katastrofa.
Proto má smysl bavit se o současné praxi a snažit se situaci změnit.
Petici najdete na webu CA Securty Council a můžete jejich snahu svým podpisem podpořit.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz