Sikkerhetstabbe kan stoppe trafikken til flere hundre nettsteder
En tabbe av en ledende sikkerhetsleverandør fører til at mange selskaper mister sikker identifisering av nettsidene sine. Dette vil stoppe trafikken til en rekke nettsteder allerede denne måneden. Uten tiltak kan de økonomiske konsekvensene bli omfattende.
Årsaken til denne situasjonen er at Symantec over en lang periode har brutt med spillereglene for utstedelse av såkalte sikkerhetssertifikater (SSL- eller TLS-sertifikater). Et TLS-sertifikat bidrar til å bekrefte identiteten til et nettsted, slik at brukeren er trygg på at nettstedet er ekte og at kommunikasjonen er sikker.
Denne storaktøren ble tatt en rekke ganger i å utstede «test-sertifikater» i sine skarpe produksjonsmiljøer uten at sertifikatene ble gjenstand for nødvendige kontroller i hht. spillereglene som gjelder for bransjen.
Rammer mange
Med Google i spissen har nettleserbransjen konkludert med at dette er ødeleggende for tilliten til sikkerhet på nettet.
Google har varslet at deres nettleser Chrome fra 17. april ikke kommer til å akseptere en gruppe sertifikater fra Symantec, inkludert deres merkevarer som Verisign, GeoTrust, Thawte mfl. Da møter brukerne av nettsider med slike sertifikater en advarsel om at nettsiden ikke er sikker.
16. oktober utvides «aksjonen» til å advare om manglende tillit for alle TLS-sertifikater fra Symantec. Dette gjelder flere hundre virksomheter i Norge og tusener globalt.
— De fleste vil utvilsomt holde seg unna nettsider med en slik advarsel, og da mister virksomhetene både eksisterende og potensielle kunder som kommer inn via nettet. For mange kan det fort gi store økonomiske konsekvenser, sier fagansvarlig for sikkerhetssertifikater Mads Henriksveen hos Buypass AS. Dette selskapet er den eneste godkjente sertifikatutstederen i Norge.
Teknologi for tillit
Disse sertifikatene er viktige komponenter i teknologien som sørger for at folk har tillit til nettstedene de besøker. Et enkelt domenevalidert-sertifikat (DV) kjennetegnes av en hengelås på nettsiden, mens en mer komplett løsning i form av EV-sertifikat synliggjøres med navnet på nettstedets eier på lys grønn bakgrunn i adressefeltet.
Sertifikatutstederne samarbeider med nettleserleverandørene om hvilke spilleregler som skal gjelde. Aktøren som brøt spillereglene har avviklet hele sin sertifikatvirksomhet og solgt den til en annen sertifikatutsteder som et resultat av tiltakene Google iverksatte.
Mozilla med sin nettleser Firefox har fulgt opp med tilsvarende reaksjon som Google. Det er varslet at Microsoft og Apple vil følge etter og komme med sikkerhetsadvarsler i sine nettlesere Edge og Safari.
Må skaffe nytt
Nå sitter mengder av nettsteder med sertifikater som om kort tid i praksis kommer til å bli avvist av nettleserne.
— Den eneste løsningen er å anskaffe et nytt sertifikat som er utstedt av en aktør som nettleserne anerkjenner, sier Henriksveen hos Buypass.
Hans selskap er blant de som er anerkjent, og CA-sjefen anbefaler de som er rammet å vurdere den norske løsningen.
Buypass’ TLS-sertifikater er basert på løsninger utviklet i Norge, opererer i Norge og er underlagt norsk lovgivning og europeiske reguleringer. I kjølvannet av NSA-episodene i USA anbefaler Nasjonal Sikkerhetsmyndighet (NSM) at man bruker en utsteder som er underlagt norsk lov.
— I tillegg har Buypass lokalkunnskap og benytter automatiserte oppslag mot norske registre som gjør prosessene effektive og gir konkurransedyktig leveringstid, påpeker Henriksveen. Spesielt EV-sertifikater kan være tidkrevende å utstede pga. strenge og omfattende krav.
Ingen fritak
Mange virksomheter har anskaffet de berørte sertifikatene ganske nylig, men det gir ikke fritak.
17. april kommer det sikkerhetsadvarsel fra Chrome på nettsteder med Symantec-sertifikater som er utstedt før 1. juni 2016.
Varigheten er gjerne tre år. Selv om noen skulle forvente at et Symantec-sertifikat da skulle vare til ut i 2019, er det ikke tilfelle. Og i oktober kommer advarslene til å gjelde alle sertifikater utstedt fra denne leverandøren.
— Om kort tid er det stopp, konkluderer CA-lederen hos Buypass.
Unngå tap
Dette vil ha dramatiske konsekvenser for de som er berørt. En plakat som varsler «DETTE NETTSTEDET ER IKKE SIKKERT» er som å henge opp et skilt med «STENGT» når kundene er på vei inn i butikken.
— Dette sår tvil om og bygger skepsis til nettstedet ditt - noe som reduserer tilliten du er avhengig av hos de digitale kundene, advarer Henriksveen.
Les også: Mange avbryter nettkjøp
— Poenget nå er at mengder av bedrifter har havnet i en utfordrende situasjon som krever umiddelbare tiltak. De er nødt til å skifte ut sertifikatene for at tjenestene deres på nett skal være tilgjengelige, understreker Mads Henriksveen.
Vi hjelper deg å velge riktig SSL-sertifikat