Mezi roky 2009 a 2015 vydal Symantec a jím vlastněné certifikační autority (Thawte, VeriSign, Equifax, GeoTrust a RapidSSL) více než 30.000 TLS certifikátů v rozporu s pravidly. Nad těmito certifikáty nemá Symantec žádnou kontrolu. Z tohoto důvodu se rozhodl Google (a následně i Opera a Firefox) postupně odstranit certifikáty vydané těmito autoritami ze seznamu důvěryhodných certifikátů.
Den D nastane vydáním Chrome 70, který bude vydán kolem 16. října. V Chrome 70 tak nepůjdou webu s těmito certifikáty načíst
Seznam webů, které za pár (doslova) týdnů nepůjdou načíst, pokud nevymění HTTPS certifikáty. Ty staré od Symantecu přestanou v Chrome 70 být důvěryhodné. V článku je jen výběr z Alexa Top 1M, ale i tak je tam 20 webů s .cz, např. @iDoklad, @CasopisdTest. https://t.co/c4VZNj3jK3
— Michal Špaček (@spazef0rze) September 24, 2018
Požádali jsme Michala Špačka, bezpečnostního experta, o kontrolu certifikátů u důležitých státních webů a report, zda jsou tímto problémem ohroženy.
Michal otestoval přes 300 domén (seznam vycházel z našeho interního seznamu webů, které testujeme na Hlídači webů a ze seznamu státních služeb, které byly svého času dostupné na doméně 202020.cz).
Starý, a velmi brzo neplatný, certifikát z dílny Symantec používají (k 25.9.2018 0:00) tyto domény:
- www.mzp.cz
- autovraky.mzp.cz
- cites.mzp.cz
- isoh.mzp.cz
- katastr.cuzk.cz
- ozs.cuzk.cz
- vdp.cuzk.cz
- rpsd.mdcr.cz
- www.msk.cz
Aktivity Symantecu převzala společnost DigiCert, která vydává nové certifikáty, stačí tady certifikát obnovit u nich, anebo použít službu Let’s Encrypt.
Ještě horší je situace u několika desítek státních webů včetně webu Policie ČR či webu Ministerstva vnitra, které HTTPS vůbec nepodporují!!!
HTTPS přitom zajišťuje šifrování přenosu proti odposlechu i modifikaci a ověřuje protistranu, uživatelé tak vědí s kým komunikují. Možná by si o tom na MV ČR a dalších desítkách úřadů měli něco málo přečíst.
