Kilkanaście polskich banków w poważnych tarapatach. Google przestał im ufać

Robert Kędzierski
Google oświadczył, że Symantec wydał ok. 30 tys. certyfikatów bezpieczeństwa SSL "z naruszeniem standardów". Oznacza to, że tysiące firm, w tym polskie banki, muszą zmienić certyfikaty potwierdzające ich tożsamość w sieci.

Kilka dni temu Google oświadczył, że ogranicza swoje zaufanie do certyfikatów SSL wydawanych przez Symantec. Firma specjalizująca się w bezpieczeństwie cyfrowym miała rzekomo wydawać swoje rozszerzone certyfikaty z "naruszeniem standardów".

Czytaj też: Ten bank obiecuje, że będzie chronić twoją... reputację.

Co to jest certyfikat SSL?

To swego rodzaju gwarancja, że strona, z którą się łączymy faktycznie jest stroną, za którą się podaje. Kiedy odwiedzamy bank przy nazwie witryny widzimy kłódkę oraz nazwę właściciela witryny. Oznacza to, że zewnętrzna firma potwierdziła jej autentyczność odpowiednim certyfikatem.  

W przypadku banków wydawane są certyfikaty rozszerzone (EV). Mogą być one wydane tylko wtedy, kiedy występujący potwierdzi swoją tożsamość. Musi przejść trzy stopnie weryfikacji: udowodnić prawo do posiadania domeny internetowej, przedstawić dokumenty rejestrowe z sądu, a także inne potwierdzenia. Wystawiający certyfikat dzwoni do takiej instytucji i wszystko weryfikuje. 

Internauta, który odwiedza stronę zabezpieczoną certyfikatem EV ma pewność, że kontaktuje się z właściwą firmą. Informuje go o tym symbol kłódki i nazwa instytucji umieszczone w tym samym polu. Obok adresu www. Oto przykład:

Certyfikat SSLCertyfikat SSL 

Właśnie w taki sposób oznaczona jest strona jednego z banków otwierana za pomocą Firefoxa. Wystawcą jej certyfikatu EV jest Symantec. 

W przeglądarce Google Chrome wygląda to nieco inaczej:

Certyfikat SSL niższego szczeblaCertyfikat SSL niższego szczebla 

Obok kłódki nie ma nazwy właściciela witryny. Oznacza to znacznie niższy poziom certyfikatu SSL (DV). Jego wystawca dokonał jedynie automatycznej weryfikacji. Porównał dane z wniosku z danymi wpisanymi przy rejestracji domeny. Nie żądał dokumentów, nie dzwonił, nie zadawał pytań. 

Chrome traktuje więc strony wielu banków, w tym Polskich, jakby wystawca certyfikatu nigdy nie potwierdzał ich autentyczności. Według Google posiadany przez nie certyfikat nie spełnia norm i dlatego jest traktowany jako niższej kategorii. Według Symantec certyfikat jest całkowicie bezpieczny - bez względu na przeglądarkę, której używa konsument. 

Certyfikaty SSL wydawane przez Symantec są powszechnie wykorzystywane w bankowości (również przez kilkanaście banków w Polsce). Dlatego w celu zachowania dotychczasowego poziomu zaufania w przeglądarce Google Chrome muszą oni wymienić dotychczas używane certyfikaty wydane przez Symantec na wydane przez inne Centrum Certyfikacji. Symantec dostarcza obecnie certyfikaty dla ok. 30% zabezpieczonych stron WWW, a zatem  będzie to dość istotna zmiana na rynku usług zaufania.

- wyjaśnili nam eksperci z Asseco Data Systems.

Symantec musi teraz wydać nowe certyfikaty, co zajmie sporo czasu. Firma czuje się potraktowana niesprawiedliwie. Twierdzi, że jej certyfikaty są wydane zgodnie ze standardami, a problemy dotyczyły jedynie 127 witryn, nie 30 tys. Decyzja Google wydaje się jednak nieodwołalna. 

Zobacz także WIDEO: M. Morawiecki: Należy wzmocnić Fundusz Wsparcia Kredytobiorców, banki powinny płacić więcej

M. Morawiecki: Należy wzmocnić Fundusz Wsparcia Kredytobiorców, banki powinny płacić więcej