Kilkanaście polskich banków w poważnych tarapatach. Google przestał im ufać
Kilka dni temu Google oświadczył, że ogranicza swoje zaufanie do certyfikatów SSL wydawanych przez Symantec. Firma specjalizująca się w bezpieczeństwie cyfrowym miała rzekomo wydawać swoje rozszerzone certyfikaty z "naruszeniem standardów".
Czytaj też: Ten bank obiecuje, że będzie chronić twoją... reputację.
Co to jest certyfikat SSL?
To swego rodzaju gwarancja, że strona, z którą się łączymy faktycznie jest stroną, za którą się podaje. Kiedy odwiedzamy bank przy nazwie witryny widzimy kłódkę oraz nazwę właściciela witryny. Oznacza to, że zewnętrzna firma potwierdziła jej autentyczność odpowiednim certyfikatem.
W przypadku banków wydawane są certyfikaty rozszerzone (EV). Mogą być one wydane tylko wtedy, kiedy występujący potwierdzi swoją tożsamość. Musi przejść trzy stopnie weryfikacji: udowodnić prawo do posiadania domeny internetowej, przedstawić dokumenty rejestrowe z sądu, a także inne potwierdzenia. Wystawiający certyfikat dzwoni do takiej instytucji i wszystko weryfikuje.
Internauta, który odwiedza stronę zabezpieczoną certyfikatem EV ma pewność, że kontaktuje się z właściwą firmą. Informuje go o tym symbol kłódki i nazwa instytucji umieszczone w tym samym polu. Obok adresu www. Oto przykład:
Certyfikat SSL
Właśnie w taki sposób oznaczona jest strona jednego z banków otwierana za pomocą Firefoxa. Wystawcą jej certyfikatu EV jest Symantec.
W przeglądarce Google Chrome wygląda to nieco inaczej:
Certyfikat SSL niższego szczebla
Obok kłódki nie ma nazwy właściciela witryny. Oznacza to znacznie niższy poziom certyfikatu SSL (DV). Jego wystawca dokonał jedynie automatycznej weryfikacji. Porównał dane z wniosku z danymi wpisanymi przy rejestracji domeny. Nie żądał dokumentów, nie dzwonił, nie zadawał pytań.
Chrome traktuje więc strony wielu banków, w tym Polskich, jakby wystawca certyfikatu nigdy nie potwierdzał ich autentyczności. Według Google posiadany przez nie certyfikat nie spełnia norm i dlatego jest traktowany jako niższej kategorii. Według Symantec certyfikat jest całkowicie bezpieczny - bez względu na przeglądarkę, której używa konsument.
Certyfikaty SSL wydawane przez Symantec są powszechnie wykorzystywane w bankowości (również przez kilkanaście banków w Polsce). Dlatego w celu zachowania dotychczasowego poziomu zaufania w przeglądarce Google Chrome muszą oni wymienić dotychczas używane certyfikaty wydane przez Symantec na wydane przez inne Centrum Certyfikacji. Symantec dostarcza obecnie certyfikaty dla ok. 30% zabezpieczonych stron WWW, a zatem będzie to dość istotna zmiana na rynku usług zaufania.
- wyjaśnili nam eksperci z Asseco Data Systems.
Symantec musi teraz wydać nowe certyfikaty, co zajmie sporo czasu. Firma czuje się potraktowana niesprawiedliwie. Twierdzi, że jej certyfikaty są wydane zgodnie ze standardami, a problemy dotyczyły jedynie 127 witryn, nie 30 tys. Decyzja Google wydaje się jednak nieodwołalna.
Zobacz także WIDEO: M. Morawiecki: Należy wzmocnić Fundusz Wsparcia Kredytobiorców, banki powinny płacić więcej
-
"Twoja paczka została zatrzymana przez służby celne". Dostałeś taki SMS? Uwaga, to oszuści
-
Nowy harmonogram. Urodziłeś się w latach 1974-1990? Daty rejestracji na szczepienie przeciwko COVID
-
Ekonomista FOR: Rząd może po cichu podnieść stawki podatków. Do 26 i 41 proc. "Większość osób nie zauważa"
-
Podwyżka cen za gaz. Już zatwierdzono nowe stawki. O ile więcej zapłacimy? [KWOTY]
-
Likwidacja OFE. Chcesz przenieść pieniądze do ZUS-u? Maszeruj na pocztę. Rząd nie przewidział e-deklaracji
- "Rz": Rząd planuje duże zmiany. Prawo do ubezpieczenia ma zyskać każda osoba bez pracy czy emerytury
- Emerytura honorowa to dodatkowe świadczenie w wysokości 4512,41 zł. Kto może je otrzymać?
- Kary za wykroczenia skarbowe wzrosną o 8 400 złotych. Prezydent podpisał ustawę
- Zmiany w Karcie Dużej Rodziny. Sejm przegłosował nowelizację przepisów
- "Lagun" przeraził mieszkańców Krakowa. Obrońcy zwierząt przygotowują już charytatywne gadżety