Mozilla planira da zabrani kineske SSL sertifikate

Mozilla i Apple više neće obeležavati kao bezbedne domene za koje sertifikate bude izdavao WoSign.

Mozilla planira da zabrani kineske SSL sertifikate

Zbog brojnih krupnih kršenja pravila koja mogu ugroziti bezbednost internet korisnika, Mozilla planira da zabrani sertifikate kineskog sertifikacionog tela WoSign-a.

U izveštaju Mozille se navodi da WoSign nije prijavio akviziciju StartCom-a, a na teret im se stavlja i nepravilno izdavanje sertifikata za GitHub gde su sertifikovali neke domene bez ikakve validacije. Mozilla više neće obeležavati kao bezbedne domene za koje budu izdati novi sertifikati bilo od strane WoSign-a bilo od strane StartCom-a. To će početi da važi u skorijoj budućnosti. Kako postojeći korisnici sertifikata pomenutih sertifikacionih tela ne bi bili pogođeni, odluka Mozille se odnosi samo na sertifikate koji će tek biti izdati.

Inače, sertifikaciono telo WoSign je poznato po tome što izdaje besplatne SSL sertifikate (koje trenutno nije moguće naručiti zbog, kako kažu, bezbednosnih pitanja) i po tome što dozvoljavaju do 100 domena i poddomena na jednom sertifikatu (uobičajeno je do 25 domena, tj. SAN-ova).

WoSign

Ključna stvar kod sertifikovanja je poverenje javnosti i zbog toga će Mozilla bez oklevanja preduzeti mere i u budućnosti kako bi se to poverenje očuvalo.

SHA-1 se već duže vremena smatra za slab algoritam i skoro svi vodeći igrači na tržištu browsera preduzimaju korake kako bi označili sertifikate sa SHA-1 kao nebezbedne. Microsoft planira da to učini od februara 2017, a Firefox i Chrome ne pre 01.01.2016.

Mozilla je izrazila zabrinutost da će beskrupulozna sertifikaciona tela pokušati da antidatiraju sertifikate kako bi premostila zabranu, a već je otkriveno da je WoSign to uradio u slučaju 62 sertifikata ove godine. Istraga je utvrdila da su brojni sertifikati navodno izdati u nedelju 20.12.2015, iako kompanija uobičajeno izdaje sertifikate radnim danima. I ne samo to, ispada da su zaposleni tog dana čak 24 sata izdavali sertifikate.

WoSign će morati da napravi velike tehničke promene u svom radu (i ne samo tehničke) kako bi rešenje problema moglo da se nasluti.

Nakon Mozille, i kompanija Apple je objavila da će WoSign G2 međusertifikate (intermediate certificate) označavati kao nebezbedne. To će se desiti prilikom sledećeg ažuriranja iOS-a. Apple je dao šansu korisnicima WoSign sertifikata da pređu na roots sertifikate od poverenje.

Izbor SSL sertifikata

Kada su SSL sertifikati u pitanju na tržištu postoji veliki broj sertifikacionih tela (CA) koja nude ovu vrstu usluge. Kao što smo videli, nisu sva sertifikaciona tela jednako pouzdana, pa tako ni njihovi sertifikati nemaju jednak kredibilitet. Ako kupujete SSL sertifikat, ne bi trebalo da vam jedini kriterijum pri izboru vendora bude cena.

Među lidere na tržištu SSL sertifikata spadaju Symantec, Thawte i GeoTrust.

Symantec sertifikati osim vrhunske enkripcije, obzbeđuju i procenu ranjivosti i skeniranje malwarea na sajtu. Zbog ovih karakteristika i prepoznatljivosti Symanteca kao brenda u koji ljudi imaju poverenja, sajtovi kojima je poverenje posetilaca od ključnog značaja biraju Symantec SSL sertifikate.

Thawte i GeoTrust nude jeftinije sertifikate koji nemaju dodatne karakteristike, ali obezbeđuju jaku enkripciju i pouzdanu autentifikaciju.

Pročitajte više o SSL sertifikatima.