Posted on

Še vedno potrebujete več dokazov, da je vizualni indikator DV SSL premočan?

Zato ne moremo imeti lepih stvari.

Pojavila se je novica, da je raziskovalec našel lažno spletno stran, ki naj bi bil blog Symantec. Seveda ni bil. To je bilo skrivno širjenje nove različice OSX.Proton kraje gesel.

Spletna stran je bila tudi prepričljiva. Vsekakor je bila spletna stran popolna kopija prave po videzu in občutku  prave lastnine Symantec-a. Uporabili so celo pravo ime in naslov strani Symantec v informacijah o registraciji domene.

Stvari so se zrušile z email naslovom, ki je bil uporabljen v registraciji – enak, ki je bil uporabljen pri registraciji certifikata Comodo (DV SSL). Symantec očitno nikoli ne bi uporabil certifikata Comodo na katerikoli svoji strani.  In čeprav sami ne moremo videti informacij o certifikatu, je bila to verjetno brezplačna ponudba DV od Comodo prek svoje pogodbe AutoSSL cPanel.

Ne glede na to, pa to samo poudarja dejstvo: trenutni vizualni kazalnik za DV SSL je premočan.

Kako smo prišli do sem?

Šifriranje postaja obvezno. To je kratek odgovor. Google in sčasoma Mozilla pomagata olajšati ta seizmični premik od HTTP na HTTPS s spreminjanjem uporabniškega vmesnika brskalnika, ki pravi “Varno”, kadar zazna SSL certifikat.

Stran, ki ima nameščen SSL certifikat, je označena z “Varna”, če pa stran nima SSL certifikata je označena z “Ni varna” oz. kako drugače. Uporabniki pa niso dobro seznanjeni, kaj to pomeni.

Na primer Varno ne pomeni zavarovan (Secure ≠ Safe).

V interesu širokega sprejetja šifriranja SSL, so ustvarili brezplačen DV certifikat, ki ga lahko dobite na Amazonu, preko Let’s Encrypt ali Comodo preko cPanela. In to je super. Med internetom in osnovnim SSL certifikatom  ne sme biti gospodarskega čuvaja.

Težava je v tem, da smo ustvarili situacijo, v kateri lahko dobronamerni varnostni izdelek dejansko pomaga kibernetskim kriminalcem pri goljufanju potrošnikov.

Ne pravimo, da je brezplačen SSL zanič oz. da bi se ga morali znebiti. Pravimo le:

Ne bi smelo pisati “Varno” za DV certifikat.

Sicer Google in Mozilla sčasoma planirata to. Bolje pa bi bilo, da bi strani z DV certifikatom, bile označene kot nevtralne. Če bi hoteli obdržati “Varno” bi to pridobili z OV certifikatom.