Er den Grønne hengelåsen død?

Overskriften er kanskje litt dramatisk, men ikke helt usann.

Hvis du er interessert i privatliv eller sikkerhet så burde dette være en tankevekker eller starten på en diskusjon.

Tidligere stolte vi på en håndfull organisasjoner for å kryptere nett trafikken vår. Vi stolte på Comodo, Digicert, Verisign og noen få andre. Så lenge ingen har stjålet eller fått tilgang på Root sertifikatet eller de private nøklene så vil kommunikasjonen være sikret.

Litt historie rundt Hengelåsen, eller SSL som det kalles på fagspråket.

  • En CA (certificate Authority) er en enhet som verifiserer at noen er det de sier det er.
  • Mange nivåer fra normale sertifikat til Extended Validation (grønn linje) som garanterer identiteten med den du kommuniserer med.
  • Sertifikat basert kommunikasjon foregår på den måten at man krypterer trafikken mellom nettleser og nettserveren, slik at ikke kommunikasjonen mellom disse to kan avlyttes. For utenforstående så betyr det at de kan se hvilke sider en nettleser besøker, men de kan ikke se hva brukeren av nettleseren får av informasjon fra serveren.

Hvem kan utstede et EV sertifikat og hvem stoler vi på?
I starten var det et fåtall CA’er som var «trusted» i en nettleser. I skrivende stund inkluderer Mozilla 170.
Man kan anta at de andre nettleserne fra Apple, Google, Microsoft og mange flere støtter de samme CA’ene.
En full liste kan man se her: https://mozillacaprogram.secure.force.com/CA/IncludedCACertificateReportCSVFormat

I det siste har man opplevd at firma og stater har fått tilgang til sertifikat og dermed har de utstedt sertifikater for f.eks google.com og gmail.com. Dette har blitt oppdaget da Google har hardkodet fingeravtrykket for de individuelle sertifikat ene sine i nettleseren Chrome. Den ringer også hjem til «pappa» og sladrer dersom den oppdager sertifikater som ikke samsvarer med de fingeravtrykk som ligger i minnet.

Det er ikke noe som hindrer en systemadministrator å legge inn sitt

Blue Coat, et større navn innen sikkerhet på internett ble nylig kjøpt opp av Symantec.
Blue Coat leverer allerede Appliances for nett tilbydere og myndigheter for overvåkning av SSL trafikk, og fikk utstedte et Symantec Intermediate sertifikat for noen måneder siden. Dette er sertifikater som «alle» stoler på. Hvis en slik boks er plassert på strategiske steder vil en nettleverandør eller stat kunne generere falske sertifikater on-the-fly og i nesten alle tilfeller vil det da se ut som at du er på en nettside med sikker kommunikasjon og vil få den trygge grønne hengelåsen og til og med grønn linje i nettleseren.

Hva betyr dette for Kristin som bare koser seg med Facebook og Aftenposten.no fra kjøkkenet i Søgne? Minimalt. For hun bor i Norge hvor man ikke blir forfulgt og ikke aktivt overvåket. Regner vi med. Men det kan jo være andre som synes det er interessant å få tilgang på facebook kontoen eller få tilgang på epost kontoer osv.

Men for Faruk i Egypt, eller Cheng i Kina som kanskje jobber aktivt for å være en politisk motpart mot sittende regjering, så kan dette være problematisk. For varslere til wikileaks så kan det hende at hele transaksjonen av informasjon blir sett i sin helhet i klartekst i stedet for at den går kryptert over nettet. Det er da lettere å bli oppdaget og kanskje til og med forfulgt.

Det er heller ikke noe i veien for at et større firma som anskaffer seg teknologi som kan dekryptere SSL trafikk som passerer igjennom brannmurer til selskapet. Så lenge de har kontroll på sertifikatene som er lagt til på klientene.

I det siste har også en ny trend i Antivirus programvare vært at programvaren installerer sitt eget sertifikat på maskinen det er installert på for så å kunne dekryptere trafikken. Hensikten er god; man skal fange opp skadelig kode før den når nettleseren til brukeren. Dessverre så straffes gode gjerninger. Avast gjør dette og nylig mistet Avast sine private nøkler for sine sertifikater. Dette har gjort at en rekke brukere rundt om i verden har blitt utsatt for «man in the middle» angrep dersom de har en Avast antivirus.

Den grønne hengelåsen er, heldigvis, her for å bli. Men det kan vært verdt å vite at selv om den er grønn så kan man ikke helt 100% utelukke at noen lytter på linja, eller kan overvåke trafikken som går der.

Sjekker du noen gang hvem som har utstedt sertifikatet for nettsiden du er på?

Illustrasjon: muskokagraphics.com