Kategorija: Novice

Safari se pridružuje Firefox-u in Chrome-u pri opozarjanju uporabnikov o HTTP straneh

Safari Technology Preview je napredna različica brskalnika Safari, ki vam omogoča ogled vrhunskih napredkov.

Safari Technology Preview verzija 46 je na voljo za macOS Sierra in High Sierra. Sprememba je tudi v uporabniškem vmesniku – ko je uporabnik na strani, ki ni varna in je na njej polje za vnos gesla ali kreditne kartice, se v polju za pametno iskanje (naslovna vrstica) pojavi varnostno opozorilo. In če boste zamudili opozorilo, boste prejeli spodnje sporočilo – ki je že aktivno v trenutni različici programa Safari (11).

Ni ravno isto, kar Mozilla in Google delata že celo leto, vendar je podobno.

Chrome in Firefox sta v začetku januarja začela označevati spletna mesta z nezaščitenimi polji z geslom z “Ni Varno”. Od takrat se je opozorilo razširilo tudi na katerokoli HTTP spletno stran, ki ima besedilno polje. Razlika je v tem, da sta Google in Mozilla varnostno opozorilo postavila poleg URL-ja v naslovni vrstici. Apple pa te ne opozori, razen če klikneš na polje, za pametno iskanje.

Seveda je to del večjega načrta brskalnikov, da namestite SSL certifikat in da bodo vse strani preko HTTPS. SSL zavaruje povezavo med spletnim mestom in obiskovalci s šifriranjem kar preprečuje krajo zaupnih podatkov in vsilitev tuje vsebine.

Sčasoma bodo brskalniki vsako stran preko HTTP označili za Ne Varno.

Za zdaj se opozorila počasi razvijajo, da se lastniki spletnih strani lahko pripravijo. Če še niste ugotovili, čas je, da si pridobite svoj SSL certifikat.

Bela hiša ima novo spletno stran, ki je odlična, vendar bo potrebno ponovno izdati SSL certifikat.

Bela hiša uporablja Symantec OV certifikat, ki je za malo zgrešil datum nezaupanja.

Zakaj mora bela hiša ponovno izdati SSL certifikat?

Google in Mozilla sta menila, da Symantec slabo opravlja nadzor nad nekaterimi partnerji in neodvisnimi organizacijami, ki opravljajo validacijo v drugih regijah sveta. Tako so se podjetja združila in prišla do rešitve, kjer bodo stare korenine Symanteca in vsa potrdila, ki so bila izdana, odpisali v fazah dokler Symantec ne zgradi svoj PKI. V vmesnem času je Symantec prodal varnostna sredstva spletnega mesta, povezana s SSL & PKI Digi Certu, ki bo v imenu družbe Symantec ravnala s potrjevanjem in izdajo.

DigiCert je za Symantec začel izdajati 1. decembra 2017. Zato je vsak certifikat Symantec SSL, izdan po 1. decembru varen. Na žalost je Bela hiša pridobila svoj SSL certifikat 9 dni prej, torej 21. novembra 2017.

Bela hiša ima do 13. septembra 2018 čas za ponovno izdajo in namestitvijo certifikata.

Povzetek

• Če vaša spletna stran uporablja certifikat, ki ga je izdal Symantec, RapidSSL, GeoTrust ali Thawte in je bil izdan pred 1. junijem 2016, morate ponovno izdati certifikat pred 15. marcem 2018.
• Če ima vaša spletna stran  SSL certifikat od Symantec, RapidSSL, GeoTrust ali Thawte in je bil izdan po 1. juniju 2016 ampak pred 1. decembrom 2017, morate ponovno izdati certifikat pred 13. septembrom 2018.

Symantec in DigiCert bosta vse certifikate, ki jih je potrebno ponovno izdati, ponovno izdala brezplačno.

Dogovor vključuje vsa Symantec-ova varnostna sredstva spletnega mesta, povezana s SSL & PKI (GeoTrust, Thawte in RapidSSL).

1. decembra 2017 je DigiCert izdelal in implementiral nov, pametnejši PKI za reševanje težav z brskalniki. Vsi na novo izdani, ponovno izdani, obnovljeni ali zamenjani SSL certifikati bodo uporabljali nov sistem PKI in bodo popolnoma skladni z brskalniki, ki gredo naprej.

Kaj to pomeni zame?

Nekateri predhodno izdani SSL certifikati Symantec (GeoTrust, Thawte in RapidSSL) morajo biti PONOVNO IZDELANI in PONOVNO POTRJENI z novim DigiCert PKI pred določenim datumom v 2018 – s tem se izognete morebitnim opozorilom brskalnika. Ne skrbite, to bo hitro in neboleče – preverjanje DigiCert-a je najboljše – in kar je najpomembnejše, BREZPLAČNO! Po ponovni izdaji bo potrdilo SSL vaših strank še naprej deloval kot običajno in bo izpolnjevalo vse zahteve brskalnika. To pomeni, da bodo vaše stranke še naprej izkoriščale najvišja obdobja veljavnosti, indikatorje zaupanja vrednih brskalnikov (npr. zelena naslovna vrstica EV, HTTPS, ključavnica) in se izognili vsem neprijaznim opozorilnim sporočilom.

Kakšen je časovni okvir za ponovno izdajo?

Vsi partnerji, prodajalci, preprodajalci in končni uporabniki bodo imeli do 9 mesecev časa za ponovno izdajo (ali obnovitev) teh SSL certifikatov. Vse je odvisno od datuma izdaje certifikata.

V nedeljo večina ni mogla dostopati do LinkedIn zaradi pretečenega SSL certifikata.

Če ste imeli 3. decembra težave pri prijavi v LinkedIn  – socialno mrežo za profesionalce – niste bili edini. LinkedIn-u je namreč potekel SSL certifikat. To je bila napaka, ki je milijonom ljudi onemogočila dostop do spletnega mesta in pustila tiste, ki so se lahko prijavili brez varne povezave. Sedaj ima LinkedIn že nameščen nov certifikat DigiCert OV SSL in spletna stran je spet aktivna.

Ne dovolite, da tudi vam poteče SSL

Za tako veliko podjetje, kot je Linkedin je prepoznavnost in vidljivost ključna. Certifikat torej pridobite od takega vira, ki vam zagotavlja vidljivost in vas opomnijo preden vam poteče certifikat. Samo ena napaka (kot LinkedIn v nedeljo) lahko povzroči katastrofalne posledice.

Torej: te težave je enostavno preprečiti z dobro platformo za upravljanje digitalnih certifikatov.

Zato ne moremo imeti lepih stvari.

Pojavila se je novica, da je raziskovalec našel lažno spletno stran, ki naj bi bil blog Symantec. Seveda ni bil. To je bilo skrivno širjenje nove različice OSX.Proton kraje gesel.

Spletna stran je bila tudi prepričljiva. Vsekakor je bila spletna stran popolna kopija prave po videzu in občutku  prave lastnine Symantec-a. Uporabili so celo pravo ime in naslov strani Symantec v informacijah o registraciji domene.

Stvari so se zrušile z email naslovom, ki je bil uporabljen v registraciji – enak, ki je bil uporabljen pri registraciji certifikata Comodo (DV SSL). Symantec očitno nikoli ne bi uporabil certifikata Comodo na katerikoli svoji strani.  In čeprav sami ne moremo videti informacij o certifikatu, je bila to verjetno brezplačna ponudba DV od Comodo prek svoje pogodbe AutoSSL cPanel.

Ne glede na to, pa to samo poudarja dejstvo: trenutni vizualni kazalnik za DV SSL je premočan.

Continue reading Še vedno potrebujete več dokazov, da je vizualni indikator DV SSL premočan?