Kilkanaście polskich banków w poważnych tarapatach. Google przestał im ufać

Robert Kędzierski
Google oświadczył, że Symantec wydał ok. 30 tys. certyfikatów bezpieczeństwa SSL "z naruszeniem standardów". Oznacza to, że tysiące firm, w tym polskie banki, muszą zmienić certyfikaty potwierdzające ich tożsamość w sieci.

Kilka dni temu Google oświadczył, że ogranicza swoje zaufanie do certyfikatów SSL wydawanych przez Symantec. Firma specjalizująca się w bezpieczeństwie cyfrowym miała rzekomo wydawać swoje rozszerzone certyfikaty z "naruszeniem standardów".

Czytaj też: Ten bank obiecuje, że będzie chronić twoją... reputację.

Co to jest certyfikat SSL?

To swego rodzaju gwarancja, że strona, z którą się łączymy faktycznie jest stroną, za którą się podaje. Kiedy odwiedzamy bank przy nazwie witryny widzimy kłódkę oraz nazwę właściciela witryny. Oznacza to, że zewnętrzna firma potwierdziła jej autentyczność odpowiednim certyfikatem.  

W przypadku banków wydawane są certyfikaty rozszerzone (EV). Mogą być one wydane tylko wtedy, kiedy występujący potwierdzi swoją tożsamość. Musi przejść trzy stopnie weryfikacji: udowodnić prawo do posiadania domeny internetowej, przedstawić dokumenty rejestrowe z sądu, a także inne potwierdzenia. Wystawiający certyfikat dzwoni do takiej instytucji i wszystko weryfikuje. 

Internauta, który odwiedza stronę zabezpieczoną certyfikatem EV ma pewność, że kontaktuje się z właściwą firmą. Informuje go o tym symbol kłódki i nazwa instytucji umieszczone w tym samym polu. Obok adresu www. Oto przykład:

Certyfikat SSLCertyfikat SSL 

Właśnie w taki sposób oznaczona jest strona jednego z banków otwierana za pomocą Firefoxa. Wystawcą jej certyfikatu EV jest Symantec. 

W przeglądarce Google Chrome wygląda to nieco inaczej:

Certyfikat SSL niższego szczeblaCertyfikat SSL niższego szczebla 

Obok kłódki nie ma nazwy właściciela witryny. Oznacza to znacznie niższy poziom certyfikatu SSL (DV). Jego wystawca dokonał jedynie automatycznej weryfikacji. Porównał dane z wniosku z danymi wpisanymi przy rejestracji domeny. Nie żądał dokumentów, nie dzwonił, nie zadawał pytań. 

Chrome traktuje więc strony wielu banków, w tym Polskich, jakby wystawca certyfikatu nigdy nie potwierdzał ich autentyczności. Według Google posiadany przez nie certyfikat nie spełnia norm i dlatego jest traktowany jako niższej kategorii. Według Symantec certyfikat jest całkowicie bezpieczny - bez względu na przeglądarkę, której używa konsument. 

Certyfikaty SSL wydawane przez Symantec są powszechnie wykorzystywane w bankowości (również przez kilkanaście banków w Polsce). Dlatego w celu zachowania dotychczasowego poziomu zaufania w przeglądarce Google Chrome muszą oni wymienić dotychczas używane certyfikaty wydane przez Symantec na wydane przez inne Centrum Certyfikacji. Symantec dostarcza obecnie certyfikaty dla ok. 30% zabezpieczonych stron WWW, a zatem  będzie to dość istotna zmiana na rynku usług zaufania.

- wyjaśnili nam eksperci z Asseco Data Systems.

Symantec musi teraz wydać nowe certyfikaty, co zajmie sporo czasu. Firma czuje się potraktowana niesprawiedliwie. Twierdzi, że jej certyfikaty są wydane zgodnie ze standardami, a problemy dotyczyły jedynie 127 witryn, nie 30 tys. Decyzja Google wydaje się jednak nieodwołalna. 

Zobacz także WIDEO: M. Morawiecki: Należy wzmocnić Fundusz Wsparcia Kredytobiorców, banki powinny płacić więcej

M. Morawiecki: Należy wzmocnić Fundusz Wsparcia Kredytobiorców, banki powinny płacić więcej

Więcej o:
Komentarze (66)
Kilkanaście polskich banków w poważnych tarapatach. Google przestał im ufać
Zaloguj się
  • lubella69

    Oceniono 15 razy 3

    Mam ważne pytanie, o co chodzi z tym nagłym sukcesem ratingowym Polski i jaki to ma związek z tym wydarzeniem: „Z radością i satysfakcją witamy na polskiej ziemi reprezentantów Komitetu Żydów Amerykańskich (AJC)” – napisał prezydent Andrzej Duda w liście do uczestników gali z okazji otwarcia w Warszawie biura AJC. "
    To jest grubsza sprawa, coś sprzedano po cichu?
    ...
    Poproszę o rzeczowe komentarze. Dziękuję.

  • zlosliwyskrzat

    Oceniono 7 razy 3

    Google rozpoczyna swoją kolejną wojenkę.

  • twojno

    Oceniono 7 razy 3

    A może po prostu trzeba zrezygnować z Chrome'a, przy obsłudze kont internetowych...

  • fragles102

    Oceniono 12 razy 2

    polskie banki sa tylko 2
    a reszta to zagraniczne molochy i złodfzieje

  • kniazwitold

    Oceniono 2 razy 2

    Najwyzsza pira zrezygnowac z Google, ktore nieuczciwie zwalcza konkjrencje.

  • sigit

    Oceniono 2 razy 2

    Certyfikat Gazety też jest do dupy. Podobnie jak na wielu stronach, także przy logowaniu do Gazety zaczął się pojawiać monit o niezabezpieczonej komunikacji ;)
    W Firefoxie

  • prawdziwyklecha

    Oceniono 16 razy 2

    Jarek ma konto w skarpecie pod materacem , jedyny przelew jaki w życiu zrobił to z rajtuzy mamy do swojej skarpety właśnie. Także nie musi obawiać się żadnych ataków hakerskich , a jedyny wirus jaki mu grozi to zarazki z niewypranej skarpety.

  • radek_sziwa

    Oceniono 3 razy 1

    Akurat pkobp.pl na Chrome działa i wyświetla się pełna nazwa. Podobnie inne. Więc jak dla mnie artykuł z dupy.

Aby ocenić zaloguj się lub zarejestrujX