22.9.2012

Google-sivuilla voi huijata – varmenteita väärennetty

Merkittävä osa internetin turvallisuudesta pohjautuu siihen, että käyttäjät pysyvät luotettavilla sivuilla ja osaavat kavahtaa vaarallisia. Tässä auttavat varmenteet, joiden perustella selaimet tunnistavat turvalliset sivut. Nyt on liikkeellä väärennettyjä varmenteita, joilla petolliset Google-sivustot saadaan näyttämään asiallisilta.

Liikkeellä olevista turmiollisesta ssl-varmenteesta varoittaa Cert-fi. Sen on myöntänyt hollantilainen varmennepalveluja tarjoava Diginotar CA.

Väärennetty varmenne koskee kaikkia google.com -loppuisia osoitteita. Varmenteen ansiosta selain ei havaitse sivustoa väärennetyksi, jos käyttäjä onnistutaan sellaiselle houkuttelemaan.

Asiaan on tulossa korjaus, kun se on nyt tullut ilmi. Selainpäivityksillä Diginotar poistetaan listalta, jossa on luotettavina pidetyt varmenteiden myöntäjät. Päivityksiä odoteltaessa Diginotarin voi poistaa omasta selaimestaan itsekin.

Selaimen pitäisi varoittaa

Ssl-varmenteen tarkoituksena on todistaa, että web-sivusto on todella varmenteen haltijan tekemä eikä esimerkiksi salasanojen varastamista varten tehty verkkourkintasivusto tai muu huijaussivusto. Selaimet tuntevat joukon luotettavana pidettäviä tahoja, joiden myöntämiin varmenteisiin se luottaa. Jos sivuston varmenteen myöntäneen tahon "juurivarmennetta" on tuntematon, selain varoittaa käyttäjää asiasta.

Cert-fi muistuttaa, ettei kyse aina välttämättä ole huijauksesta, vaikka varoitus tuleekin. Riski kuitenkin on olemassa.

Esimerkiksi viime vuonna avattu poliisin Nettivinkki-palvelu kärsi aluksi varmenneongelmista. Chrome, Firefox ja Opera eivät aluksi tunnistanut Väestörekisterikeskuksen myöntämää varmennetta, joten ne varoittivat, että yhteyden turvallisuutta www.poliisi.fi-sivustoon ei pystytä varmistamaan.

Lähde: Tietokone.fi

0 kommenttia:

Lähetä kommentti