Újra áll a tanúsítvány-bál: Google-Symantec
Lassan nyílt háborúba torkollik a Google és a Symantec vitája a tanúsítványok téves kibocsátása kapcsán. A Symantec gyakorlata ugyanis nem egyezik az iparági elvárásokkal, a keresőóriás (újra) kiborult.
Újra kiborult a Symantec hanyag praktikáira a Google, a cég tanúsítványkibocsátó képtelen ellátni alapvető feladatát és csak ellenőrzött entitásoknak kiadni az identitást bizonyító tanúsítványt. Ezúttal viszont nem figyelmeztetést, hanem kemény szankciókat léptet érvénybe a Google, első körben a hosszú érvényességű tanúsítványokat vágja vissza. A vita nem új keletű, a Symantec már korábban is adott ki más entitásnak a Google nevére szóló tanúsítványt.
Megint téves kibocsátás?
A Google nagyon kemény vádakat fogalmaz meg a Symantec felé: "A Symantec legalább négy entitás számára biztosított hozzáférést az infrastruktúrájához úgy, hogy ennek eredménye tanúsítvány kibocsátása volt, ezt a tevékenységet a szükséges és elvárt módon nem felügyelte." A Google azt is felrója, hogy miután szembesítette a céget a problémával, az nem adta ki a kapcsolódó információkat és nem mérte fel a problémák jelentőségét - vagyis nem volt együttműködő. Ráadásul ez a gyakorlat nem egyszeri eset, hanem éveken át zajlott - ahogy a nyilvánosan elérhető és a Symantec által átadott adatokból kiderül. A Google szerint több éven át összesen mintegy 30 000 tanúsítványt bocsátott ki tévesen a cég.
A téves kibocsátás ("misissuance") gyakorlatilag a legkomolyabb vétség amit egy tanúsítványkibocsátó elkövet. A tevékenység lényege ugyanis, hogy a tanúsítvány kizárólag akkor adható ki, ha a kibocsátó meggyőződik a vizsgált entitás azonosságáról - hiszen egészen pontosan ezt az azonosságot tanúsítja a kiadott digitális igazolás. Ennek pedig fontos szerepe van a modern internetes infrastruktúrában, a tanúsítványok igazolják a kliens számára, hogy a szervert nem személyesíti meg közbeékelődő támadó - ha a felhasználó beüti a google.com címet, akkor valóban a Google szerverén köt ki.
Gyors szakítás? Nem jöhet szóba
Szinte bármely más SSL/TLS tanúsítványkibocsátót kipenderítene ezekért a húzásokért a Google a Chrome Root CA programból - a Symantec piaci részesedése 2015-ben azonban mintegy 30 százalékos volt ezen a piacon, így az azonnali és általános kitiltás a gyakorlatban kivitelezhetetlen, túl sok weboldal és internetes kommunikáció függ ezektől jelenleg. Ezért a Google úgy döntött, hogy a Symantec által kibocsátott tanúsítványoktól fokozatosan vonja meg a bizalmat és a Chrome következő kiadásai egyre rövidebb ideig fogadják el ezeket a tanúsítványokat. Eszerint a Chrome 59 még maximum 33 hónapos érvényességet fogad el, ez csökken 9 hónapra a Chrome 64-gyel, ami várhatóan 2018 elején érkezik.
Hosszabb távon ennél fontosabb változás, hogy az újonnan kibocsátott Symantec-tanúsítványok maximális érvényessége 9 hónap (279 nap), a Chrome 61-től fogva ennél hosszabb érvényességű tanúsítványban a böngésző nem bízik meg. Ez a Google szerint azt jelenti, hogy bármely tévesen kibocsátott tanúsítvány csak ennyi ideig garázdálkodhat, illetve amennyiben a teljes bizalommegvonás mellett dönt a cég, akkor mindössze 9 hónap alatt ki lehet majd vezetni a Symantec-tanúsítványokat a piacról.
A lépések számottevő problémát jelentenek, a Symantec-csoporthoz tartozó CA-k (a Symantec, VeriSign, az Equifax, a GeoTrust, a Thawte, RapidSSL és más kisebb márkák) által kibocsátott tanúsítványok ugyanis széles körben elfogadottnak számítanak. A bizalom visszavágása így fejtörést okozhat a weboldalak üzemeltetőinek és a felhasználóknak egyaránt. A pontos következményekről egyelőre korai lenne beszélni, az viszont egyértelmű, hogy a bizalom (egyelőre részleges) megvonását a weboldalaknak kezelniük kell valahogyan.
A Google számára sem veszélytelen egyébként a lépés, a cég igyekszik is iparági összefogássá dagasztani a lépést és a Mozillával valamint az Apple-lel, illetve a Microsofttal is elfogadtatni azt - erre azért van szükség, hogy hibát dobó weboldal esetén a felhasználók ne a böngészőt, hanem a weboldalt hibáztassák. Az egyes böngészőgyártók ugyanis külön listán tartják nyilván az általuk megbízhatónak jelölt tanúsítványkibocsátókat, ha csak a Chrome vonja meg a bizalmat, akkor az a Google számára is problémás lehet.
Symantec: nem csak mi vétettünk!
Időközben az érintett cég is közzétette saját állásfoglalását, amelyben burkoltan bizonytalanság és kétség ébresztését rója fel a Google-nek, a vádakat megfogalmazó eredeti levelet pedig felelőtlennek minősíti, az abban megfogalmazott szankciókat pedig váratlannak. A cég védekezése szerint szó sincs 30 000 tévesen kiadott tanúsítványról, összesen 127 ilyenről tud a vállalat a Google által említett incidens kapcsán.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A cég igyekszik helyreállítani renoméját, ennek megfelelően az érintett, téves tanúsítványokat kiadó partner regisztrációs hatóság (RA) státuszát azonnali hatállyal megvonta, illetve RA-programját egészében megszünteti, vagyis külső felek, másodrendű tanúsítványkibocsátók számára nem teszi lehetővé Symantec-féle tanúsítványok használatát.
A Symantec ugyanakkor saját vádjait is megfogalmazza: a cég szerint a Google több érintett kibocsátó (CA) közül a Symantecet pécézte valamiért ki, hiába követett el más is hasonló kihágásokat, csak a Symantec kap szankciót a nyakába. Emellett kiemeli, hogy a már említett RA-programot bezárja és saját Certificate Transparency megoldást üzemeltet házon belül - ez naplózza az egyes kibocsátásokat és teszi lehetővé az egyes tanúsítványok visszakövetését.
A cég leszögezi, hogy a téves kibocsátások kapcsán a végfelhasználókat semmilyen kár vagy biztonsági incidens nem érte.
Semmi sem szent?
A Google most újra azt elégelte meg, hogy a Symantec a kritikus infrastruktúrának és az internetes bizalom alapkövének számító tanúsítvány-rendszerrel él vissza - az előzményekért lásd 2015-ös cikkünket. A tanúsítványok rendszere, pontosabban a Public Key Infrastructure ugyanis az abszolút bizalomra épül. A böngészők és operációs rendszerek néhány gyökértanúsítványt elfogadnak abszolút biztonságosként, erre építve alakul ki a kibocsátók fastruktúrája - minden szint felel azért, hogy a következő szint betartsa a protokollokat és megfeleljen e bizalomnak. A tanúsítványok ma már az internetes biztonság alapköveivé váltak: ezek felelnek azért, hogy a kliens és a szerver között biztonságos, titkosított kapcsolat jöhessen létre, úgy, hogy abba harmadik fél ne tudjon belenyúlni. A tanúsítvány szerepe a folyamatban az, hogy azonosítja a szervert és garantálja, hogy a böngészővel beszélő kiszolgáló az, aminek mondja magát (esetünkben a google.com a Google-é).
Ez a rendszer lassan olyan mint a demokrácia, amelyről még Churchill állította, hogy az a legrosszabb politikai rendszer, kivéve azokat, amelyeket már kipróbáltunk. A tanúsítványok rendszere valóban sok sebből vérzik, jelenleg azonban nincs olyan alternatíva, amelyre akár hosszabb távon alapozhatnánk az internetes kommunikáció biztonságát. Maradnak tehát az olyan kezdeményezések, mint a Google által beindított Certificate Transparency keretrendszer, amely az eddigieknél is szigorúbb előírások alá vonja a tanúsítványok kiadását és ellenőrizhetővé teszi a tanúsítványok kibocsátási folyamatát.