Av
| 
Internetsäkerhet är som kortbetalningar: användaren står för risken. Enda garantin för en surfare är de säkerhetsbevis, certifikat, som säger: "surfa lugnt, den här webbplatsen är kollad och certifierad".
Att falluckor ändå kan dras undan för surfaren på de mest oväntade håll blev uppenbart när det avslöjades att holländska Diginotar, ett företag med rätt att certifiera webbplatser, hade drabbats av omfattande stölder av certifikat.
Själva hacket där någon skaffade sig illegitim åtkomst till certifikaten skedde enligt uppgift i mitten av juli. Diginotar säger sig då ha återkallat de flesta ogiltiga certifikaten, men långtifrån alla. För i veckan har certifikatshacket växt från en snöboll till en säkerhetslavin.
Först talades det främst att Google.com och Gmail var drabbade. Därefter har antalet illegitima certfikat växt från ett "dussintal" certifikat till fler än 200 stulna certifikat i mitten av veckan.
Bland de drabbade finns Mozilla, Microsoft, Tor Project och Apples webbläsare Safari. Alla webbjättar fick plötsligt fullt upp med att panikuppdatera sina webbläsare med svartlistningar av falska certifikat: Googles Chrome, Mozillas Firefox, Microsofts Internet Explorer och Apples Safari är bara några exempel.
Inte ens i skrivande stund finns en komplett förteckning över hur många eller vilka certifikat som har stulits. Att förtroendet för Diginotar har fått sig en ordentlig knäck står helt klart. Många användare talar om att ta bort alla företagets certifikat efter händelsen, vilket även gäller webbläsarföretag som Microsoft.
Efter hacket gjorde Diginotar missen att tro att delar av de falska certifikaten redan var återkallade och ogiltigförklarade. Men företaget upplystes snart av ett holländskt Cert-team att så inte var fallet. Därefter slog ett antal säkerhetsföretag larm.
Klart står att säkerhetsmissarna har lämnat delar av nätet, okänt hur stora, vidöppna för intrång. Samtidigt som användarna svävar i falsk säkerhet om att de befinner sig på säkra sidor.
Om vi jämför med förtroendet för kortbetalningarna så återställdes det inte förrän kreditkortsföretagen började gå in och betala drabbade kortkunder. Webbföretagen står nu inför utmaningen att garantera att det som uppges vara säkert på nätet verkligen är det.
En varningsklocka har ringt. I eget intresse bör webbjättar som Google, Mozilla, Microsoft och andra aktörer inte bara se igenom reglerna för certifieringar, utan hela processen måste ses över. Annars återstår bara ren anarki.
Att falluckor ändå kan dras undan för surfaren på de mest oväntade håll blev uppenbart när det avslöjades att holländska Diginotar, ett företag med rätt att certifiera webbplatser, hade drabbats av omfattande stölder av certifikat.
Själva hacket där någon skaffade sig illegitim åtkomst till certifikaten skedde enligt uppgift i mitten av juli. Diginotar säger sig då ha återkallat de flesta ogiltiga certifikaten, men långtifrån alla. För i veckan har certifikatshacket växt från en snöboll till en säkerhetslavin.
Först talades det främst att Google.com och Gmail var drabbade. Därefter har antalet illegitima certfikat växt från ett "dussintal" certifikat till fler än 200 stulna certifikat i mitten av veckan.
Bland de drabbade finns Mozilla, Microsoft, Tor Project och Apples webbläsare Safari. Alla webbjättar fick plötsligt fullt upp med att panikuppdatera sina webbläsare med svartlistningar av falska certifikat: Googles Chrome, Mozillas Firefox, Microsofts Internet Explorer och Apples Safari är bara några exempel.
Inte ens i skrivande stund finns en komplett förteckning över hur många eller vilka certifikat som har stulits. Att förtroendet för Diginotar har fått sig en ordentlig knäck står helt klart. Många användare talar om att ta bort alla företagets certifikat efter händelsen, vilket även gäller webbläsarföretag som Microsoft.
Efter hacket gjorde Diginotar missen att tro att delar av de falska certifikaten redan var återkallade och ogiltigförklarade. Men företaget upplystes snart av ett holländskt Cert-team att så inte var fallet. Därefter slog ett antal säkerhetsföretag larm.
Klart står att säkerhetsmissarna har lämnat delar av nätet, okänt hur stora, vidöppna för intrång. Samtidigt som användarna svävar i falsk säkerhet om att de befinner sig på säkra sidor.
Om vi jämför med förtroendet för kortbetalningarna så återställdes det inte förrän kreditkortsföretagen började gå in och betala drabbade kortkunder. Webbföretagen står nu inför utmaningen att garantera att det som uppges vara säkert på nätet verkligen är det.
En varningsklocka har ringt. I eget intresse bör webbjättar som Google, Mozilla, Microsoft och andra aktörer inte bara se igenom reglerna för certifieringar, utan hela processen måste ses över. Annars återstår bara ren anarki.
Molnigt på idg.se?
Diginotar kan nog lägga ner... - (diiz) 2011-09-01 13:43
Skriv inte över mina CA inställningar! - (msa) 2011-09-01 13:52
Skriv inte över mina CA inställningar! - (giddorah - Jag gissar inte iallafall.) 2011-09-01 13:59
Skriv inte över mina CA inställningar! - (msa) 2011-09-01 14:04
Diginotar kan nog lägga ner... - (ottan ) 2011-09-01 14:09
Diginotar kan nog lägga ner... - (Anders Johansson) 2011-09-01 14:20
gör det verkligen det - (Filliman) 2011-09-01 14:27
Diginotar kan nog lägga ner... - (Neptune) 2011-09-01 14:31
Certifikat != trust - (Chreo@work) 2011-09-01 14:32
Diginotar kan nog lägga ner... - (tva) 2011-09-01 14:33