SIKKERHETSSERTIFIKATER

Tusenvis av nettsteder rammet av sertifikatfeil

Utstederen gjorde en tabbe.

HTTPS sikrer overføringen av webdata, men innfører også nye, potensielle feilkilder, noe denne historien viser.
HTTPS sikrer overføringen av webdata, men innfører også nye, potensielle feilkilder, noe denne historien viser. Bilde: Kurt Lekanger
Harald BrombachHarald BrombachNyhetsleder
14. okt. 2016 - 11:46 | Endret 14. okt. 2016 - 14:42

Brukerne av svært mange nettsteder som leverer websider via krypterte forbindelser (HTTPS) har det siste døgnet fått beskjed fra nettleseren om at nettstedet de forsøker å besøke er usikkert fordi et sikkerhetssertifikat har blitt trukket tilbake. 

Dette skal ha berørt mengder med nettsteder, inkludert store aktører som Dropbox og The Guardian. Også flere store, norske nettsteder skal ha vært berørt. Finn.no var blant disse, men ifølge Kristine Eia Kirkholm, informasjonssjef hos selskapet, påvirket dette bare nedlasting av bilder en kort periode i går.

Les også: Mener tiden er inne for å ta i bruk kryptoteknologien TLS 1.3

Bommert

Årsaken til problemet er at noen endringer som ble gjort hos den store sertifikatutstederen GlobalSign, ikke gikk helt som de skulle. Selskapet opplyser det administrerer flere rotsertifikater, og at det av effektivitetsårsaker tilbys kryssertifikater mellom disse.

I forbindelse med en planlagt øvelse ble lenkene mellom noen av disse sertifikatene fjernet. Men samtidig ble et kryssertifikat, som lar sertifikater lenkes til en alternativ rot, tilbakekalt.

Dette skulle ikke ha skjedd. 

Alt så likevel ut til å fungere greit en ukes tid etter endringen, men i går begynte nettlesere å opplyses at den kryssignerte roten hadde tilbakekalt mellomliggende sertifikater – noe som ikke stemte. 

Mellomlagringen opprettholder problemet

GlobalSign skal deretter ha fjernet kryssertifikatet fra OCSP-databasen og tømt mellomlagrene. Men det er ikke bare hos GlobalSign at sertifikatene mellomlagres. Det kan gjøres også hos CDN-tilbydere og av brukernes egne nettlesere eller operativsystem.

Endringen GlobalSign nå har gjort, betyr at brukere som ikke har besøkt noen av de berørte nettstedene siden problemet oppstod, ikke vil merke noe som helst. 

Men i motsatt fall vil nettleseren advare og i verste fall nekte brukeren tilgang til nettstedet, inntil den mellomlagrede sertifikatresponsen forfaller, noe som kan ta opptil fire dager, ifølge GlobalSign. 

Leste du denne? Microsoft lekket «universalnøkkel» til Secure Boot ved et uhell

Løsningene

Det er mulig for brukerne å tømme mellomlageret selv. En oppskrift for Windows og macOS/OS X finnes her. Men man kan ikke forvente at alle brukerne skal gjøre dette. 

Løsningen for de fleste av de berørte nettstedene er derfor å erstatte det mellomliggende sertifikatet (ICA) med et nytt, som er oppgitt nederst på denne siden. Det skal ikke være nødvendig å gjøre noe mer utover dette.

Les også: Snart kan du bruke den elektroniske ID-en din i utlandet

Saken er oppdatert med tilbakemelding fra Finn.no.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.