Certyfikaty SGC (Server Gated Cryptography) są pozycjonowane przez firmy wystawiające certyfikaty jako lepsze, bezpieczniejsze i ma to uzasadniać ich wyższy koszt. W tej chwili certyfikat VeriSign SecureSite kosztuje 399USD, natomiast odpowiednik z SGC VeriSign SecureSite Pro to już koszt 995USD. Czy warto dopłacić? Co daje SGC? Czy poprawi bezpieczeństwo użytkowników korzystających z serwisu internetowego?
Server Gated Cryptography to technologia, która powstała w latach ‘90 XX wieku w odpowiedzi na obowiązujące w Stanach Zjednoczonych ograniczenie eksportowania silnych technologii kryptograficznych (nie można było korzystać z kluczy o długości ponad 40-bitów, dzisiaj powszechnie korzystamy z kluczy 128 lub 256-bitowych) poza teren USA. W celu umożliwienia poprawnego zabezpieczenia transakcji wykonywanych przez instytucje finansowe na całym świecie wprowadzono do SSL rozszerzenie SGC. Certyfikaty SSL z rozszerzeniem SGC mogły być wystawiane tylko dla instytucji finansowych. SGC pozwalał na podniesienie siły szyfrowania z 40 bitów do 128 bitów.
W chwili obecnej nie obowiązują już ograniczenia w eksportowaniu silnej kryptografii poza terytorium USA, a certyfikaty SGC mogą być wystawiane dla każdej organizacji, nie tylko dla instytucji finansowych. Każdy może wykorzystywać klucze symetryczne 128 czy nawet 256-bitowe, jeśli tylko serwer i przeglądarka WWW użytkownika pozwala na wynegocjowanie takich parametrów zabezpieczenia transmisji danych. Każdy współczesny serwer WWW i przeglądarka internetowa pozwalają na używanie przynajmniej 128-bitowych kluczy.
Jedynie użytkownicy bardzo starych przeglądarek internetowych i systemów nie mogą korzystać z silnej kryptografii, są to:
- przeglądarka Internet Explorer® wersje od 3.02 do 5.5
- przeglądarka Netscape wersje od 4.02 do 4.72
- system Microsoft Windows® 2000, które nie mają zainstalowanego dodatku Microsoft’s High Encryption Service Pack i pod warunkiem korzystania z przeglądarki Internet Explorer
Tak, to prawda - na liście nie ma żadnej współcześnie wykorzystywanej przeglądarki internetowej ani systemu operacyjnego. Jeśli ktoś korzysta z archaicznych wersji oprogramowania, to stanowi to większy problem bezpieczeństwa niż transmisja SSL zabezpieczona tylko 40-bitowym kluczem.
Reasumując: SGC (Server Gated Cryptography) nie daje w dniu dzisiejszym poprawy bezpieczeństwa.
W ubiegłym tygodniu zespół CERT Polska opublikował raport o bezpieczeństwie w polskim Internecie w 2008 roku. W 2008 roku na 1796 odnotowanych zdarzeń związanych z bezpieczeństwem aż 400 dotyczyło kradzieży tożsamości, podszycia się i phishingu (22%)! Bez wdawania się w szczegóły techniczne, phishing polega na podszyciu się pod serwis internetowy banku albo innej instytucji i wyłudzenie od użytkownika poufnych informacji, na przykład loginu i hasła do systemu bankowego.
Jednym ze sposobów zabezpieczenia się przed phishingiem jest stosowanie certyfikatów Extended Validation. Przeglądarki internetowe wyróżniają wizualne serwisy internetowe, które korzystają z certyfikatów EV. Jednocześnie skomplikowana procedura wystawienia certyfikatu EV uniemożliwia jego uzyskanie przez oszustów.
Poniżej przykład serwisu transakcyjnego mBanku korzysta z certyfikatu Extended Validation:
Kto przede wszystkim powinien zainteresować się certyfikatami typu EV?
- banki i instytucje finansowe
- serwisy, które przeprowadzają transakcje płatnicze o wysokiej wartości (również sklepy internetowe i inne serwisy typu e-commerce)
- serwisy bardzo dobrze znane przez użytkowników, a tym samym narażone na próby podszywania się pod nie (wspomniany powyżej phishing)
- serwisy, które chcą chronić swoją markę w Internecie i w wiarygodny sposób potwierdzić swoją tożsamość
- serwisy, które już wcześniej stały się celem ataku phishingowego i chcą zwiększyć bezpieczeństwo swoje i swoich użytkowników i klientów
- serwisy, które chcą się pozytywnie wyróżnić na tle konkurencji i potwierdzić przejawianą troskę o bezpieczeństwo danych swoich klientów
W ofercie Certi.pl znajdują się certyfikaty EV:
Jak wizualnie certyfikaty Extended Validation są wyróżniane w różnych przeglądarkach internetowych opisałem w serii postów poświęconych różnym przeglądarkom.
Post należy do serii wpisów poświęconych działaniu certyfikatów Extended Validation w różnych przeglądarkach internetowych. Na początku serii opisałem metodologię testów.
Ze względu na dużą popularność systemu Windows XP zwłaszcza w firmach i korporacjach, zdecydowałem się również na sprawdzenie czy Internet Explorer 7 uruchomiony na tym systemie zachowuje się inaczej niż ta sama przeglądarka uruchomiona na Microsoft Vista. Okazuje się, że tak, szczegóły poniżej.
Możesz kliknąć na obrazek, żeby zobaczyć jego powiększenie. Zrzuty ekranów pokazują przeglądarkę Internet Explorer 7 uruchomioną w Microsoft XP Service Pack 3 zawierającym wszystkie aktualizacje, z wyjątkiem aktualizacji opcjonalnych. We wcześniejszym poście opisałem jak certyfikaty EV obsługuje IE7 uruchomiony pod Microsoft Vista.
Strona główna
Po wejściu na stronę http://www.mbank.com.pl/ niestety nie zobaczymy zielonego paska adresu:
Na tym test zakończę, ponieważ pozostałe informacje na temat certyfikatu są takie same jak dla IE7 uruchomionego pod Windows Vista.
Podsumowanie
Różne zachowanie Internet Explorera 7, uruchomionego pod systemem Windows XP od tej samej przeglądarki uruchomionej pod systemem Windows Vista niewątpliwie dziwi. Przyczyna problemu jest prosta — aktualizacja certyfikatów głównych (root CA) wymagana do rozpoznawania certyfikatów EV nie jest wykonywana automatycznie w systemie Windows XP. W związku z tym, do momentu w którym nie zostanie wykonana ręcznie, Internet Explorer w Windows XP nie będzie rozpoznawał certyfikatów EV.
Problem ten zauważył również największy na świecie wystawca certyfikatów — firma VeriSign. W celu jego rozwiązania powstał EV Upgrader™, który został zintegrowany pieczęcią VeriSign Secured Seal™. W ten sposób wejście na stronę wyświetlającą pieczęć VeriSign przy pomocy przeglądarki IE7 pracującej na Windows XP, automatycznie wymusi aktualizację certyfikatów głównych i „uruchomi” zielony pasek adresu również pod XP. Szczegóły znajdują się w dokumencie EV Upgrader: Enabling Windows XP Clients for Extended Validation (PDF, język angielski).
