Utgångna certifikat, varningar i webbläsare och OCSP

Låt mig först förklara vad som händer med vissa av de säkerhetsvarningar som du kanske stöter på i webbläsaren när ett SSL-certifikat har löpt ut. När du besöker en webbplats och startar en säker session (t.ex. genom att logga in till din webbmejl), skickar servern ett SSL-certifikat till din webbläsare för att verifiera sin identitet. Det här certifikatet innehåller identitetsinformation av olika slag, däribland adressen till webbplatsen. Alla dessa uppgifter har verifierats av en extern certifikatsutfärdare (t.ex. Symantec) som webbläsaren litar på. Genom att kontrollera att adressen i certifikatet stämmer överens med webbplatsens adress och genom att kontrollera att certifikatet fortfarande är giltigt, går det att verifiera att du kommunicerar säkert med den webbplats du vill besöka – inte en bedragare som vill stjäla ditt användarnamn och lösenord. Så om du någonsin ser en bild som den i mitt tidigare blogginlägg bör du inte gå vidare till webbplatsen.

browserservercommunication

 

Men hur är det med en varning om ett SSL-certifikat som är giltigt och inte har löpt ut? Utfärdaren av varje certifikat ansvarar för att ha en återkallelselista. Den kallas ofta för OCSP-lista (Online Certificate Status Protocol) och hette tidigare CRL (Certificate Revocation List) (här finns en förklaring av OSCP och SSL-återkallelse på engelska). Varför är detta viktigt? Jo, för ett par år sedan råkade certifikatsutfärdaren DigiNotar ut för ett fullskaligt intrång då en angripare från Iran lyckades skaffa sig falska certifikat till flera dussin domäner på Internet, däribland vissa välkända offentliga tjänster för webbmejl och snabb-/röstmeddelanden, och alla stora tillverkare av webbläsare tvingades sluta lita på DigiNotars certifikat. Om folk hade fortsatt att strunta i varningarna från webbläsaren, skulle deras inloggningsuppgifter ha blivit stulna och all privat information om dessa konton skulle ha fallit i förövarnas händer. DigiNotar gick i konkurs eftersom ingen litade på deras certifikat efter incidenten. Om ett SSL-certifikat hamnar i orätta händer kan utfärdaren återkalla det och lägga till domännamnet på återkallelselistan. Efter det litar ingen webbläsare längre på det certifikatet för den aktuella webbplatsen.

 

Återkallelsestatusen för förfallna certifikat behöver man inte hålla reda på. Kanske är det ett certifikat som en gång var giltigt för den webbplats som du besöker. Om du får ett meddelande om att certifikatet har förfallit bör du som konsument inte gå vidare, och jag anser att du som en del av förtroendegemenskapen bör ringa eller e-posta till företaget och berätta varför du inte loggar in på webbplatsen.

 

Det finns förstås ett par andra skäl till att användarna kan få se varningsmeddelanden på webbplatser:

  • SSL-certifikatet har inte installerats korrekt.
  • Webbläsaren litar inte på certifikatsutfärdaren (på engelska).
  • Webbplatsen använder ett egensignerat certifikat (detta betyder att webbläsaren inte litar på certifikatroten).
  • Webbplatsen kan ha infekterats av sabotageprogram och en sökmotor har svartlistan den.

 

Vad kan företagen göra för att undvika säkerhetsvarningar?

 

  • Kontrollera först att SSL-certifikatet har installerats rätt. Kontrollera installationen via https://ssl-tools.verisign.com.

 

  • Fundera på att använda serverkontrollverktyget Qualys (på engelska) för att bekräfta att du har installerat hela certifikatkedjan korrekt, inaktiverat tidigare sårbara protokoll och chiffer, och bekräfta att allt är som det ska med implementeringen av SSL på webbplatsen.

 

  • Ställ in påminnelser i kalendern om när SSL-certifikat löper ut och tänk på att du i många fall kan förnya dem hela 90 dagar i förväg. Du förlorar inget på att förnya tidigt – faktum är att det rekommenderas.

 

  • Om du har ett stort företag och ett flertal certifikat kan du fundera på att använda en lösning som Symantecs Certificate Intelligence Center, som övervakar och automatiskt förnyar och hanterar dina SSL-certifikat från Symantec.

 

  • Sök regelbundet igenom webbplatsen efter sabotageprogram och sårbarheter.

 

  • Glöm inte att du som kund till Symantec när som helst kan kontakta supportgruppen och få hjälp med alla dessa saker.

 

Förtroende är e-handelns och nätkommunikationens livsblod. Vi är skyldiga våra kunder att göra rätt.