The University of California, together with Google, recently undertook a study to track real-world clickthrough rates from browser security warnings in two of the most popular web browsers Google Chrome and Mozilla Firefox. The results reveal a much mo…
Eräs ystäväni soitti minulle viime viikolla (olen ystäväpiirissäni se IT‑/tietoturvatyyppi). Hän kysyi, mitä pitäisi tehdä, jos on saanut alla olevan ilmoituksen, sillä hän ei ollut nähnyt vastaavaa aikaisemmin. Kuten alla näkyy, ilmoituksessa varoitetaan, ettei kyseinen sivusto ole välttämättä enää turvallinen, koska sen SSL‑varmenne on vanhentunut.
Vastasin välittömästi, ettei hänen pitäisi missään tapauksessa jatkaa eteenpäin. Jos epäilyttää, voi siirtyä toiselle sivustolle, käydä liikkeessä paikan päällä, yrittää soittaa tai lähettää yritykselle sähköpostia, mutta verkkosivustoa ei kannata käyttää. Ystäväni vastaus oli melko yllättävä: Tiedusteltuaan ongelmasta Twitterissä hän oli saanut kyseisen sivuston edustajalta neuvon, jonka mukaan ”tästä varoituksesta ei ole mitään syytä huolestua”. Pohdittuani asiaa hetken tajusin, että neuvo oli varsin kauhistuttava. Miksi luotettavalta sivustolta annettaisiin noin kummallisia ohjeita?
Syy numero 1: Sivusto ei halua menettää yhtäkään asiakasta.
Syy numero 2: Sivustolla ei ymmärretä edes perusasioita sen suhteen, kuinka kuluttajien luottamus rakentuu, mistä syystä asiakkaille annetaan vääriä neuvoja.
Syy numero 3: Sivustolla ei olla tietoisia, mitkä ovat seuraamukset, jos ihmiset noudattavat tämänkaltaisia huonoja neuvoja.
Oletin, että kysymyksessä oli syy numero kolme, joten soimasin sivuston omistajia. Sitten aloin tutkia tätä nimenomaista ongelmaa ja sivustoa tarkemmin selvittääkseni, mitä oikein oli tapahtunut. Tällä kertaa oli kyse verkkokauppasivuston ylläpitotiimin tarkkaamattomuudesta. Varmenne oli ehtinyt vanhentua huomaamatta, joten he yrittivät paikata tilannetta ja lieventää epähuomiossa sattuneen virheen vaikutuksia. Se, että asiakkaita käsketään ohittamaan varoitus, ei kuitenkaan ole minkään järkeenkäyvän parhaan käytännön mukaista. Antaisivatko he saman neuvon seuraavan kerran kun jotakuta asiakasta pyydetään sähköpostitse paljastamaan luottokorttitietonsa ja kotiosoitteensa? Toivottavasti eivät. Entäpä jos heidän sivustoonsa olisi tarttunut haittaohjelma? Tiettävästi 61 prosenttia haitallisista sivustoista on todellisuudessa aitoja verkkosivustoja, joiden tietoturva on vaarantunut tai joille on tartutettu haitallista koodia. Vuonna 2012 verkkosivustotyypeistä, jotka isännöivät haittaohjelmia, yritys‑, teknologia‑ ja ostossivustot olivat viiden yleisimmän joukossa (lähde: englanninkielinen Symantec ISTR 2013 -raportti). Jos tietokoneeni virustorjuntaohjelma havaitsisi haitallisen sivuston ja estäisi sen, kehotettaisiinko minua ohittamaan sekin varoitus ja jatkamaan vain eteenpäin?
Esimerkit edustavat ehkä ääripäätä, mutta jos käyttäjiä kehotetaan ohittamaan heidän suojakseen tarkoitetut tietoturvavaroitukset, kyseessä on huono käytäntö, eikä verkkokauppiaiden pitäisi missään tapauksessa heikentää asiakkaiden luottamusta tällä tavoin.
Minkä neuvon antaisin siis itse sekä ystävälleni että suurelle yleisölle? Valittakaa! Ja valittakaakin kunnolla. Käyttäkää live chat ‑keskustelutoimintoa, muualla verkossa julkaistua puhelinnumeroa ja sosiaalista mediaa. Laittakaa häpeämään ne ihmiset, jotka käyttävät luottamustanne hyväkseen ja saattavat teidät mahdollisesti vaaraan. Vaatikaa, että sivuston on vakuutettava teidät, jotta voitte käyttää sitä: sivustolla tulee olla näkyvissä Norton Secured Seal ‑tunnus tai muu luotettavuusmerkki, josta käyttäjät tietävät, että sivusto on tarkistettu, eikä sillä ole haittaohjelmia. Tehkää myös selväksi, ettette aio käydä kauppaa kyseisen yrityksen kanssa niin kauan kuin selaimessanne näkyy sivuston turvallisuutta tai tietoturvaa koskevia varoituksia. Kuluttajilla on paljon valtaa, ja jos valitamme ja äänestämme jaloillamme, viestimme tämänkaltaisten sivustojen omistajille pitäisi kyllä mennä perille. Toki monet meistä sulkevat epäilyttävän sivuston heti varoituksen nähtyään, mutta on myös käyttäjiä, jotka eivät vain ole varmoja, kuinka toimia, tai joita vedätetään kylmästi käskemällä ohittamaan asianmukaiset tietoturvavaroitukset tai antamalla muita huonoja neuvoja.
Jos me tällä alalla kehotamme toistuvasti käyttäjiä ohittamaan varoitukset, me saatamme aliarvioida luottamuksen ja verkkoturvallisuuden merkityksen – ja miksipä ottaisimme sen riskin, sillä verkko on täynnä mahdollisuuksia (ks. englanninkielinen blogikirjoitus).
Tietoturva‑alan toimijat tekevät parhaansa luodakseen varoituksia ja kehittääkseen suojausmenetelmiä työkaluihin, joiden avulla verkossa harjoitetaan liiketoimintaa. Kenenkään tällä alalla työskentelevän ei pitäisi ikinä neuvoa ketään ohittamaan varoituksia. Verkkokauppasivusto, joka antaa asiakkaalle huonoja neuvoja, ansaitseekin menettää kyseisen asiakkaan, sillä kun luottamus on kerran menetetty, sitä on lähes mahdoton voittaa takaisin. Ja siinä vaiheessa tappio on meidän kaikkien yhteinen.
Das Certificate Authority/Browser Forum hat alle Zertifizierungsstellen aufgefordert, die Unterstützung für RSA-Zertifikate mit 1024-Bit-Schlüsseln bis zum Ende dieses Jahres (2013) einzustellen. Hiervon sind sowohl SSL- als auch Code-Si…
Vous n’êtes certainement pas sans savoir que le Certificate Authority/Browser Forum a enjoint les autorités de certification (AC) de cesser toute prise en charge des certificats RSA de 1 024 bits, tant pour la protection SSL que pour la signature de code, d’ici la fin de l’année 2013. Pour en savoir plus, je vous invite à lire l’article du CA/Browser Forum intitulé Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, dans lequel l’organisme présente ses exigences de base pour l’émission et la gestion de certificats.
Comment procéder ?
Les clients Symantec dont les certificats arrivent à expiration d’ici la fin de l’année 2013 devront générer une requête de signature de certificat (CSR) de 2 048 bits ou plus lors de leur renouvellement. Les clients Symantec possédant des certificats expirant en 2014 devront remplacer l’ensemble de leurs certificats de 1 024 bits par des certificats RSA/DSA de 2 048 bits ou ECC de 256 bits, ce avant le 1er octobre 2013. Plus aucun certificat de 1 024 bits ne sera pris en charge à partir de 2014. Cette décision s’inscrit dans le cadre de la publication spéciale 800-131A du NIST. Pour en savoir plus, cliquez ici.
Je vous recommande également de consulter ces quelques ressources utiles pour vous accompagner dans cette transition.
Vérifiez la puissance de cryptage de vos certificats
Comment générer une nouvelle CSR
Nous proposons plusieurs tutoriels consacrés à la génération d’une CSR :
Vous pouvez vérifier et valider votre CSR à l’aide de cet outil.
Comment installer un certificat
Nous proposons plusieurs tutoriels consacrés à l’installation d’un certificat SSL :
Si vous êtes équipé d’un serveur Microsoft IIS 6.0 ou 7.0 avec une version .NET 2.0 ou ultérieure, ou encore d’un serveur Red Hat, l’outil « SSL Assistant » vous aide à générer automatiquement votre nouvelle CSR de 2 048 bits, puis à installer votre certificat.
Ressources complémentaires :
FAQ : fin de la prise en charge des certificats de 1 024 bits (Anglais)
Support : transition des certificats de 1 024 bits vers des certificats à plus fort cryptage
A estas alturas, seguramente ya sepa que el Certificate Authority/Browser Forum ha ordenado a las autoridades de certificación que dejen de admitir certificados RSA con claves de 1024 bits para SSL y firma de código de aqu&…
I hope by now that you are aware that the Certificate Authority/Browser Forum has mandated that Certificate Authorities stop supporting 1024-bit key length RSA certificates for both SSL and code signing by the end of this year (2013). To learn more abo…
On Tuesday, Microsoft announced that they have just upgraded their entire Outlook.com mail environment to an Always On SSL experience, protected by Extended Validation (EV). This means that all of the user’s data is protected via 2048-bit e…