Jump to content
Harald Brombach (digi.no)

Mange norske nettsteder må snart skifte ut HTTPS-sertifikatet

Recommended Posts

Guest Slettet-Pqy3rC

Hvor er det trygt å kjøpe då?

Akkurat det er jo det håpløse med hele saken, i prinsipp finnes ingen sikre steder å kjøpe fra. Dette fordi nettleserleverandørene tydeligvis står jo fritt til å selv bestemme hvem de liker/stoler på.

 

Kanskje vi ser at de ulike nettleserleverandørene selv starter sertifikatsalg, og kun stoler på seg selv, da kan det jo bli festlig.

Share this post


Link to post

 

Hvor er det trygt å kjøpe då?

Akkurat det er jo det håpløse med hele saken, i prinsipp finnes ingen sikre steder å kjøpe fra. Dette fordi nettleserleverandørene tydeligvis står jo fritt til å selv bestemme hvem de liker/stoler på.

 

Kanskje vi ser at de ulike nettleserleverandørene selv starter sertifikatsalg, og kun stoler på seg selv, da kan det jo bli festlig.

 

Sånn har det da alltid vært? Hele sertifikatordningen er jo basert på tillit, og det er bare bra for økosystemet å se at når tilliten til en leverandør forsvinner så tar nettleserprodusentene handling for å sikre brukerne sine.

  • Like 2

Share this post


Link to post
Guest Slettet-Pqy3rC

Sånn har det da alltid vært? Hele sertifikatordningen er jo basert på tillit, og det er bare bra for økosystemet å se at når tilliten til en leverandør forsvinner så tar nettleserprodusentene handling for å sikre brukerne sine.

Noe mer fornuftig om slik tillit ble vurdert av en nøytral tredjepart og ikke en aktiv deltager.

Share this post


Link to post

 

Sånn har det da alltid vært? Hele sertifikatordningen er jo basert på tillit, og det er bare bra for økosystemet å se at når tilliten til en leverandør forsvinner så tar nettleserprodusentene handling for å sikre brukerne sine.

Noe mer fornuftig om slik tillit ble vurdert av en nøytral tredjepart og ikke en aktiv deltager.

 

Som for eksempel? Per i dag er det jo faktisk nettleserleverandørene som kanskje vil være mest reaktive på tap av tillit fordi det er nettopp deres brukere som blir skadelidende. En tredjepart uten fornøyde brukere som del av forretningsmodellen vil ikke automatisk være bedre rustet for å vurdere disse sakene.

 

Det er på ingen måte et perfekt system, fordi man må sette lit til noen et eller annet sted, men det er per i dag det beste (og eneste) vi har :)

  • Like 2

Share this post


Link to post

Akkurat det er jo det håpløse med hele saken, i prinsipp finnes ingen sikre steder å kjøpe fra. Dette fordi nettleserleverandørene tydeligvis står jo fritt til å selv bestemme hvem de liker/stoler på.

 

Kanskje vi ser at de ulike nettleserleverandørene selv starter sertifikatsalg, og kun stoler på seg selv, da kan det jo bli festlig.

Nettleserleverandørene er NØDT til å ta dette ansvaret. Symantec hadde helt klart vist at de ikke var i stand til å forvalte Tilliten en CA, særlig en Root CA, er avhengig av. De fikset ikke kjente feil, og de begikk gjentatte, grove brudd på standarder og regelverk.

 

https://wiki.mozilla.org/CA:Symantec_Issues Det eneste man kan kritisere Google for, er å ha brukt for lang tid. Dette var forøvrig ikke noe sololøp fra Googles side, selv om de hadde ressursene til å "ta saken". Mozilla har også vært med underveis.

  • Like 1

Share this post


Link to post

 

Hvor er det trygt å kjøpe då?

Ta en titt på dette prosjektet istedet: https://letsencrypt.org/

 

LE tilbyr kun DV ikke OV eller EV,  selv det ikke er noe forskjell i sikkerheten i transportlaget, kan man stole mer på sertifikater som har OV.

 

Per nå er det kun en norsk leverandører av slike sertifikater og det er buypass

Share this post


Link to post
Guest Slettet-Pqy3rC

Som for eksempel? Per i dag er det jo faktisk nettleserleverandørene ...

Nettleserleverandørene er NØDT til å ta dette ansvaret. ...

Det bør være en uavhengig tredjepart som tar slike avgjørelser, f.eks. en sammenslutning av universiteter, nettleserleverandører og andre tjenestetilbydere. Sertifikatsleverandører følges opp, standardiserte rutiner benyttes, advarseler og påpakk før utestengelse, slik som normale sikkerhetsprosesser i andre fagretninger.

 

Dagens situasjon virker mer som et amatørmessig "leke butikk" opplegg, tendenserer mot anarki hvor hver mann passer egen dør og ingen kan stole på noen.

Share this post


Link to post

Hvor er det trygt å kjøpe då?

 

Ja, denne saken er kjent men hvordan nå-status er nå er mindre spennende, så det måtte jeg sette meg litt inn i da våre sertifikater skulle byttes. Konkurrentene liker å late som om saken ikke har kommet til en løsning, men en løsning er altså kommet.

 

* I prinsippet er det nå like trygt å kjøpe hos de berørte leverandørene som det var før denne saken. Symantec og Google har blitt enige, og en del av løsningen var at Symantec solgte sertifiseringsvirksomheten til DigiCert. Dermed er det like trygt å kjøpe sertifikater fra RapidSSL, GeoTrust eller til og med Symantec som det var før denne fadesen. Det er Symantec som skulle straffes, ikke kundene.

 

* Man får gratis reissue av berørte sertifikater. Selv om domenet ditt er påvirket, betyr det ikke at du trenger kjøpe nytt. Før du trenger nytt av andre årsaker, altså.

  • Like 2

Share this post


Link to post

 

Som for eksempel? Per i dag er det jo faktisk nettleserleverandørene ...

Nettleserleverandørene er NØDT til å ta dette ansvaret. ...

Det bør være en uavhengig tredjepart som tar slike avgjørelser, f.eks. en sammenslutning av universiteter, nettleserleverandører og andre tjenestetilbydere. Sertifikatsleverandører følges opp, standardiserte rutiner benyttes, advarseler og påpakk før utestengelse, slik som normale sikkerhetsprosesser i andre fagretninger.

 

Dagens situasjon virker mer som et amatørmessig "leke butikk" opplegg, tendenserer mot anarki hvor hver mann passer egen dør og ingen kan stole på noen.

 

Det hadde vært fint med en uavhengig tredjepart med ansvar, men siden den ikke forsvinner, er utviklerne av nettlesere nødt til å ta det.

Share this post


Link to post

Her må også nettleserleverandørene passe seg. Selv har jeg 4-5 nettlesere installert. Fungerer ikke en nettleser på en side prøver jeg en annen. Her kan det være at folk kommer til å bytte nettleser fordi den de bruker i dag plutselig ikke fungerer lengre.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...