Fennakadásokkal kezdődhet az év az interneten

Néhány hét múlva véget ér az SHA-1 kompatibilis tanúsítványok támogatása, de még mindig rengeteg weboldal használja azokat. Akár komolyabb fennakadások is lehetnek januárban.
 

2017. január 1. fontos mérföldkő lesz a webbiztonság szempontjából, ugyanis megszűnik az SHA-1 kriptográfiai lenyomatképző algoritmus támogatása a digitális tanúsítványok esetében. Korábban már bebizonyosodott, hogy a több mint két évtizedes múlttal rendelkező eljárás nem biztonságos, nem képes helyt állni a támadásokkal szemben. 2005-ben Bruce Schneier jelezte, hogy gondok vannak az SHA-1 alapú megoldásokkal, és 2010-tól a legtöbb szervezet már nem is javasolja azok használatát. Időközben különböző jogszabályi és iparági előírások is születtek a hash-elő algoritmusok kapcsán, így napjainkban a legtöbb hitelesítésszolgálató már erősebb, általában SHA-256 alapú tanúsítványokat bocsát ki. Csakhogy a legfrissebb felmérések szerint mégsem olyan ütemben zajlik az átállás, mint ami elvárható lenne, így január 1-jén sok weboldallal lehetnek problémák.
 
Az elmúlt években a legnépszerűbb böngészők fejlesztői úgy határoztak, hogy 2017-től egységesen lépnek fel az elavult tanúsítványok ellen. Így a Microsoft, a Google és a Mozilla is jelezte, hogy a webböngészőik nem fogják biztonságosnak nyilvánítani az SHA-1-es tanúsítványokkal rendelkező weboldalakat. Mindez a gyakorlatban azt jelenti, hogy ilyen tanúsítványok esetén a böngészők figyelmeztetnek, nem jelenítik meg a zöld címsort stb.
 
Mennyi az annyi?
 
A Venafi kutatói arra voltak kíváncsiak, hogy bő egy hónappal az SHA-1 lenyomatképzőt használó tanúsítványok kivezetése előtt, azok milyen arányban fordulnak elő a nagyvilágban. Az eredmények még a szakembereket is megdöbbentették, ugyanis kiderült, hogy a titkosított kommunikációt használó weboldalak 35 százaléka még mindig régi tanúsítványokkal működik. Az pedig, hogy a felhasználók szempontjából eddig biztonságosnak gondolt kommunikációval felvértezett weblapok közül minden harmadik egyszer csak problémásnak fog mutatkozni a böngészőkben, igencsak elgondolkodtató. A Venafi szerint ez az új évben fennakadásokat okozhat, növelheti az ügyfélszolgálatok forgalmát, és a hírnévnek sem fog jót tenni.
 
"Az elemzéseink eredményeiből világosan látszik, hogy a legnépszerűbb weboldalak üzemeltetői jó munkát végeztek az SHA-1-ről való átállás tekintetében. Ugyanakkor az internet egy jelentős része ezt nem mondhatja el magáról, hiszen továbbra is SHA-1 tanúsítványokra támaszkodik" - nyilatkozta Walter Goulet, a Venafi felhős megoldásokért felelős termékmenedzsere.
 
A szakember hozzátette, hogy a tanúsítványoknak minden korábbinál fontosabb szerepük van, ezért azok kezelését nem szabad félvállról venni. Nem kizárólag a weboldalak ellenőrzésében segíthetnek, hanem a bizalmas adatokat is védik. Márpedig egy gyenge tanúsítvány a támadók kezére játszik, akik akár közbeékelődéses (man-in-the-middle) támadások során is kihasználhatják az gyengeségeket. Ezért azoknak a szervezeteknek, amelyek még nem tettek lépéseket a régebbi tanúsítványok lecserélésére, mielőbb javasolt elkezdeni az átállást.