Heim Ýmislegt Uppfært: Útrunnið vottorð hjá Vodafone ?

Uppfært: Útrunnið vottorð hjá Vodafone ?

eftir Jón Ólafsson

Uppfærsla:  Grein yfirfarin og áhrif útskýrð betur, neðst má sjá útskýringu frá Vodafone

Uppfærsla 2:  Vodafone hafa skipt út þessu vottorði

 

Eins margir muna bæði hér innanlands og utan þá varð alvarlegur gagnaleki hjá Vodafone undir lok árs 2013 sem olli því að persónuupplýsingar og samtöl margra viðskiptavina voru aðgengilegar og þeim síðan lekið á internetið. Eftir slæma umfjöllun í flestum fjölmiðlum og á hinum ýmsum spjallborðum þá virtist sem þeir hefðu lært af reynslunni og væru með öll sín mál, allavega þau sem snúa að öryggismálum á hreinu.

 

Í dag fór ég á þjónustuvef Vodafone sem er á minar.vodafone.is og eins og glöggir notendur (með uppfærða vafra) sjá þá kemur upp viðvörun í Chrome vafranum útaf öryggisvottorðinu sem vefurinn notar.

 

voda

 

Ástæðan er einföld og má lesa út úr þessari mynd hér að ofan, en Vodafone er að nota SHA-1 vottorð til að dulkóða samskipti milli notenda og vefþjóns. Gallinn við það er að SHA-1 er að útleiðast enda að verða úreld aðferð til að dulkóða samskipti.

 

Áður en lengra er haldið:  

Að mínu mati eru notendur öruggir þrátt fyrir þessa meldingu.

 

Til að staðfesta þetta þá skoðaði ég SSL vottorðin sem vefþjónnin notar og er það hér

voda2

Vottorðið var útgefið 09.04.2014 og er í gildi til 08.04.2017 en það notar SHA-1 sem reyndar öll vottorðin í keðjunni gera.  Arnar Snær Gunnarsson sérfræðing hjá Nýherja skoðaði þetta sín megin frá og staðfesta þetta.

 

Til að útskýra afhverju þetta gerist þá eru vafrar bara að sýna villu til að þvinga kerfisstjóra til að uppfæra vottorðin sem þeir nota. Fagaðilar vilja flýta útleiðslu á SHA-1 og flýta innleiðingu á öruggari crypto eins og t.d. SHA-256. Ef vefþjónar nota vottorð með SHA-1 dulkóðun og það rennur út eftir 01.01.2016 þá munu vafrar koma með villumeldingu sem þessa. Þetta segir okkur í raun að kerfisstjórar geta notað SHA-1 vottorð sem renna út í ár.

 

Með einföldun: Það er ekkert að SHA-1 en Google og Microsoft (og fleiri) eru búnir að ákveða að hætta að styðja SHA-1 sem virðast verða notuð eftir 01.01.2016 til að ýta þessum samskiptum yfir í SHA-256 en áhugasamir lesendur geta lesið sig til um málið hér og prófað að slá inn minar.vodafone.is

 

Ég get ekkert gert að því að mér þykir málið vera klaufalegt að sjá hjá stóru fjarskiptafyrirtæki…  sérstaklega í ljósi fyrri afreka Vodafone í öryggismálum og fyrirtækið veldur mér persónulega vonbrigðum með því að hafa ekki fangað andvaran eftir lekalætin til þess að koma sínum málum á hreint og láta ekki nappa sig fyrir svona aulaskap.

 

 

Frá Vodafone

Samkvæmt símtali sem undirritaður fékk frá Vodafone þá voru þeir meðvitaðir um þetta áður en þessi grein birtist og ef þeir hefðu talið þetta vera áhættusamt fyrir notendur sína þá hefðu þeir gefið út tilkynningu. Þeir fá vottorð sín frá Vodafone Group en eins og stendur hér að ofan þá eru öll vottorð í kippunni með SHA-1.

Að sögn Vodafone verður þessu vottorði skipt út á allra næstu dögum með öruggara vottorði og ætti því melding sé sem notendur sjá í dag að heyra sögunni til.

 

Hvað finnst þér?

Þú hefur kannski áhuga á þessu...

Skildu eftir athugasemd

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Þessi vefur notast við vafrakökur. Samþykkja Lesa meira