Které státní služby se (kvůli Symantecu) řítí do problémů?

Mezi roky 2009 a 2015 vydal Symantec a jím vlastněné certifikační autority (Thawte, VeriSign, Equifax, GeoTrust a RapidSSL) více než 30.000 TLS certifikátů v rozporu s pravidly. Nad těmito certifikáty nemá Symantec žádnou kontrolu. Z tohoto důvodu se rozhodl Google (a následně i Opera a Firefox) postupně odstranit certifikáty vydané těmito autoritami ze seznamu důvěryhodných certifikátů.

Den D nastane vydáním Chrome 70, který bude vydán kolem 16. října. V Chrome 70 tak nepůjdou webu s těmito certifikáty načíst

Požádali jsme Michala Špačka, bezpečnostního experta, o kontrolu certifikátů u důležitých státních webů a report, zda jsou tímto problémem ohroženy.

Michal otestoval přes 300 domén (seznam vycházel z našeho interního seznamu webů, které testujeme na Hlídači webů a ze seznamu státních služeb, které byly svého času dostupné na doméně 202020.cz).

Starý, a velmi brzo neplatný, certifikát z dílny Symantec používají (k 25.9.2018 0:00) tyto domény:

Aktivity Symantecu převzala společnost DigiCert, která vydává nové certifikáty, stačí tady certifikát obnovit u nich, anebo použít službu Let’s Encrypt.

Ještě horší je situace u několika desítek státních webů včetně webu Policie ČR či webu Ministerstva vnitra, které HTTPS vůbec nepodporují!!! 

HTTPS přitom zajišťuje šifrování přenosu proti odposlechu i modifikaci a ověřuje protistranu, uživatelé tak vědí s kým komunikují. Možná by si o tom na MV ČR a dalších desítkách úřadů měli něco málo přečíst.