Google lyckas stoppa falska certifikat

Sköld på IT bakgrund

Google har lyckats stoppa flera falska digitala certifikat från Indien som kan ha fått webbsidor att se ut som om de hörde till denna webbgigant när de i själva verket är något helt annat.

Det som verkar lite konstigt är att certifikaten var utställda av National Informatics Centre (NIC) i Indien, som hör till dess kommunikationsdepartement. Detta center har hand om e-regerings projekt. Enligt Googles säkerhetsingenjör, Adam Langley, håller man nu på att undersöka hur dessa falska certifikat kunde komma från detta departement.

Som tur är verkar det inte vara något stort, och Google föreslår inte att man ska börja byta ut lösenord. Säkerhetsexperter har länge varnat om farorna med falska certifikat. Det kan bli ganska allvarligt när man ser på vad dessa certifikat egentligen tjänar för syfte. Det har att göra med hur en webbläsare kontrollerar att en sajt verkligen hör till den enhet som den säger. Varje domän har ett digitalt certifikat som också används för att kryptera information mellan en dator och domänen, genom att använda SSL/TLS (Secure Sockets Layer/Transport Layer Security).

Det finns speciella myndigheter som har rätt att ställa ut dessa certifikat. Hackers har då och då lyckats ta sig in till dessa myndigheter och skapat falska certifikat som de använt för olagliga domäner. Om man kommer till en liknande bedräglig sajt kan det vara möjligt för dem att avkryptera ens information. För att överkomma detta problem har Google ett Certificate Transparency projekt, vars mål är att snabbt upptäcka SSL certifikat som har getts ut av misstag eller av hackers.

Certifikaten från NIC, till exempel, var tillfälliga digitala certifkat som den indiska CCA litade på, säger Langley. Indiska CCA certifikat är också accepterade av de flesta program som finns på Windows, bland annat Internet Explorer och Chrome. Däremot skulle Chrome och Chrome OS inte ha lurats av dessa certifikat enligt Langley, eftersom de har en säkerhetsåtgärd som Google kallar för public-key pinning. Google har nu också uppdaterat Chromes lista med certifikat som de kan accpetera.

De indiska certifikaten togs bort den 3/7, dagen efter att Google upptäckte problemet. Langley säger att det var ett annan myndighet i Indien som hjälpte till med detta, nämligen Indian Controller of Certifying Authorities (India CCA), vars uppgift just är att kontrollera digitala certifikat som ställs ut i Indien.

Jag har goda erfarenheter av att designa moderna och användarvänliga hemsidor med hjälp av HTML5 och CSS3. Jag anpassar hemsidor för olika plattformar T.ex. mobiler och surfplattor, för att kunna tillfredsställa alla användare. Jag använder mig även av jQuery vilket gör hemsidorna mer responsiva, interaktiva och användarvänliga. Dessutom har jag väldigt mycket erfarenhet med dynamiska webbsystem och hantering av MySQL databaser med PHP.

Lämna en kommentar

E-postadressen publiceras inte. Obligatoriska fält är märkta *