Άγρια μάχη έχει ξεσπάσει το τελευταίο διάστημα μεταξύ Google και Symantec. Η πρώτη ανακοινώνει ότι ο Chrome δεν πρόκειται να συνεχίζει να υποστηρίζει τα ψηφιακά πιστοποιητικά που έχουν εκδοθεί από τη δεύτερη με τη Symantec να δηλώνει ότι η Google υπερβάλει…
Τι ακριβώς έχει συμβεί; Ας τα πάρουμε από την αρχή.
Όλα ξεκίνησαν πριν λίγες ημέρες όταν η Google κατηγόρησε τη Symantec και τους συνεργάτες της για πλημμελή έλεγχο κατά τη χορήγηση ψηφιακών πιστοποιητικών σε websites. Η ιστορία αυτή στην πραγματικότητα έχει ξεκινήσει από το 2015 και σύμφωνα με τη Google τα πιστοποιητικά που δεν έπρεπε να έχουν δοθεί ξεπερνούν τις 30.000. Αυτό μπορεί να φαντάζει ως μια σταγόνα στον αχανή ωκεανό του Internet, ωστόσο, όταν μιλά κανείς για την κορυφαία εταιρία έκδοσης πιστοποιητικών ασφαλείας, τα πράγματα δεν είναι καθόλου απλά.
Τα πιστοποιητικά αυτά υποτίθεται ότι παρέχουν στον επισκέπτη ενός website την διαβεβαίωση ότι το site είναι αυτό που πραγματικά ισχυρίζεται και ότι η επικοινωνία μαζί του (για παράδειγμα οι κωδικοί πρόσβασης, οι αριθμοί πιστωτικών καρτών, ή οι προσωπικές πληροφορίες) γίνεται με τρόπο απόλυτα ασφαλή και κυρίως ιδιωτικά. Αναφερόμαστε στις κρυπτογραφημένες συνδέσεις τύπου HTTPS που χρησιμοποιούνται από εκατομμύρια sites σε όλο τον κόσμο, από τράπεζες και web mails μέχρι το Facebook και απλά blogs και γενικά όπου απαιτείται καταχώρηση ευαίσθητων δεδομένων.
Η Symantec πιστοποιεί το ένα τρίτο του Internet
Για να μπορεί ένα site να κάνει χρήση του πρωτοκόλλου HTTPS θα πρέπει να κατέχει ένα πιστοποιητικό SSL/TLS από μια αρχή πιστοποίησης (Certificate Authority – CΑ). Οι αρχές αυτές αναλαμβάνουν το ρόλο να ελέγξουν την ταυτότητα του ιδιοκτήτη του site και να εκδώσουν ένα σχετικό πιστοποιητικό. Επειδή ακριβώς ο τελικός χρήστης κάποιου site, δεν είναι σε θέση να πιστοποιήσει την ταυτότητά του, η CA παρέχει τη σχετική εμπιστοσύνη. Αυτή τη στιγμή η Symantec κατέχει τη μερίδα του λέοντος στην έκδοση πιστοποιητικών με ποσοστό άνω του 30%. Να θυμίσουμε ότι η Symantec έχει εξαγοράσει τις δύο κορυφαίες εταιρείες στο χώρο της κρυπτογράφησης Thawte και VeriSign.
Τι σημαίνουν όλα αυτά;
Οι κατηγορίες της Google, τις οποίες βεβαίως η Symantec αντικρούει, είναι πολύ σοβαρές και δεν θα ήταν υπερβολή να πούμε ότι «τρίζουν» τα ίδια τα θεμέλια του Internet, αφού στην ουσία σύμφωνα με την Google, δεν μπορεί πλέον κανείς να εμπιστευθεί ούτε αυτόν που εκδίδει τα ίδια τα πιστοποιητικά των ασφαλών sites.
Παράλληλα η Google ανακοινώνει ότι για να προστατέψει τους χρήστες του Internet, ο Chrome θα ξεκινήσει σταδιακά να μην δέχεται τα πιστοποιητικά που έχει εκδώσει η Symantec και οι συνεργάτες της. Αυτό με απλά λόγια σημαίνει ότι ξαφνικά εκατομμύρια άνθρωποι δεν θα μπορούν να μπουν σε sites και υπηρεσίες που χρησιμοποιούσαν καθημερινά (τουλάχιστον από τον Google Chrome). Από την άλλη, το μπαλάκι περνά στα ίδια τα sites που κατέχουν τα σχετικά (ανασφαλή, σύμφωνα πάντα με τη Google) πιστοποιητικά και θα πρέπει να τα αντικαταστήσουν με νεότερα, κάτι που όλοι όσοι ασχολούνται με το αντικείμενο ξέρουν πολύ καλά, ότι μόνο εύκολη διαδικασία δεν είναι.
Και τι θα γίνει τώρα;
Για την ώρα η απόφαση της Google να μην δέχεται πλέον τα υφιστάμενα πιστοποιητικά της Symantec φαίνεται τελεσίδικη και θα ξεκινήσει να υλοποιείται σταδιακά με τις επόμενες αναβαθμίσεις του Google Chrome ούτως ώστε, όπως αναφέρει, να δώσει την ευκαιρία στους developers να αντικαταστήσουν τα πιστοποιητικά τους.
Ολόκληρη η ανακοίνωση της Google για το θέμα βρίσκεται εδώ.
Από την άλλη, η Symantec συνεχίζει και θεωρεί ότι η Google υπερβάλει. Το θέμα τρέχει και θα έχουμε εξελίξεις. Μείνετε συντονισμένοι…