Objavljeno

Prihajajo negativni varnostni kazalci

Pripravite se, prihajajo negativni kazalniki SSL

26. julija bo Google Chrome, najbolj priljubljen brskalnik na svetu, označil vsako spletno stran, ki nima nameščenega SSL certifikata. Nekateri vidijo to potezo kot googlov zadnji met kocke proti HTTP. V nasprotju s tem prepričanjem pa se bo začela nova igra – ta igra bo izkoreninila vse pozitivne varnostne indikatorje (npr. besedo “Varno” in ikono ključavnice) in namesto tega bo uvedla negativne varnostne kazalnike.

Zakaj Google to počne?

Google je v letu 2014 objavil svojo akcijo šifriranja celotnega spleta. Od takrat je HTTPS dosegel neverjetno širino. HTTPS je tako razširjen, da Google verjame, da bi moral HTTPS biti privzet in da morajo biti mesta, ki niso zaščitena s HTTPS, posebej označena.

Da poenostavimo, spletna mesta bi potrebovala nekaj spodbude, da bi se uporaba HTTPS širila. Sedaj pa, ko HTTPS postaja standard, Google ne potrebuje takšnih spodbud v obliki pozitivnih kazalnikov, temveč se zdaj obrača na negativne varnostne kazalnike.

Če smo iskreni, Google dela prav. Pozitivni indikatorji “Varno” pogosto zavajajo uporabnika, saj le-ta misli, da je stran varna, v resnici pa je samo šifrirana. To še posebej velja v primeru potrdila DV SSL in njegovih vizualnih kazalnikov. DV SSL kazalniki so premočni in pogosto glavna sestavina uspešne lažne predstavitve (t.i. phishing strani).

Sedaj, ko so SSL certifikati tudi brezplačni in jih je enostavno namestiti, jih veliko izrablja za prevaro uporabnikov z lažnim predstavljanjem. 

To bi se lahko omejilo na dva načina: s širjenjem ozaveščenosti ali z odpravljanjem zavajajočih pozitivnih kazalnikov z nadomestitvijo z negativnimi varnostnimi kazalci. Težko bi bilo vse naučiti vse o URL-jih, SSL-ju, šifriranju in lažnem predstavljanju. Tako je Google izbral drugo možnost.

Torej, ni več ključavnice?

Sčasoma ne.

Končni cilj Googla je, da določi HTTPS kot normo, in način, kako to storiti, ni v pozitivnih znakih, ampak v kaznovanju HTTP strani. Torej, besedilo “Varno” in znak za ključavnico bo kmalu preteklost. Z zagonom Chroma 69 v septembru 2018 bo besedilo »Varno« izginilo. Naslednji korak naj bi bil odstranitev znaka ključavnice, ki bo označil mejnik pri vzpostavljanju HTTPS kot norme.

Negativni varnostni kazalci, bodo še bolj negativni

Chrome 62, objavljen oktobra 2017, je uvedel nov negativni varnostni kazalnik, ki je uporabnike opozoril, če so karkoli vnesli na spletno mesto, ki ni HTTPS. Chrome 70, ki izide oktobra 2018, je nastavljen tako, da bo to opozorilo še bolj negativno – bolj opazno v drugih pogojih. Po uvedbi Chrome-a 68, ko bo vsako spletno mesto HTTP označeno kot »Ni varno«, bo Google potreboval še kak drug negativni indikator varnosti. To bo storjeno z uporabo rdeče barve. 

Kaj se bo zgodilo z EV potrdili in zeleno naslovno vrstico?

Google ne vidi potrdila EV SSL kot sposobne rešitve za lažne napade. Veliko strokovnjakov vidi EV SSL certifikate kot dober protiukrep proti napadom z lažnim predstavljanjem in socialnim inženiringom. Google Chrome vsebuje zastavico, ki uporabnikom omogoča, da onemogočijo indikator EV – zeleno naslovno vrstico. To nam pove, da skupina za Chrome delal (ali vsaj razmišlja) o odstranitvi indikatorja EV.

Druga stvar, na katero se želi osredotočiti Google, je uporabniška izkušnja. Ker večina uporabnikov interneta, ko zagledajo indikator “Varno”, misli, da so varni, mnogi postanejo žrtve goljufij, saj se mnogi spletni kriminalci zdaj skrivajo za zaveso brezplačnih DV SSL / TLS potrdil.