субота, 13. септембар 2008.

Raste debata o Firefox SSL sertifikatima


Debata koja je vezana za novu sigurnosnu karakteristiku u Firefox 3.0 pretraživaču kompanije Mozilla a koja se odnosi na pojavljivanje stranice sa upozorenjem kada je SSL sertifikat Web sajta istekao ili kada nije izdat od treće strane od poverenja je dostigla tačku usijanja.

Kritike se odnose pre svega na to da Firefox 3.0 stvara nepotreban strah i konfuziju kod svakodnevnih Web surfera, istovremeno čineći teškim da se načine izuzeci za određene Web sajtove i prisiljavajuće operatere Web sajtova da posluju sa specifičnim kompanijama koje obezbeđuju SSL sertifikate.

Pretraživač zahteva SSL sertifikat da bi inicirao enkriptovanu komunikaciju i potvrdio autentičnost sajta. Mozilla.com, web sajt sa kojeg se nova verzija pretraživača može besplatno preuzeti brani novu karakteristiku navodeći da SSL sertifikati koji nisu izdati od strane potvrđenih tela za izdavanje sertifikata – tzv samopotpisani sertifikati (SSC) ne obezbeđuju ni osnovnu validaciju, takođe, istekli sertifikati su isto tako pretnja jer otavaraju širom prolazak hakerima.

Zvaničnici Mozilla-e navode da nova karakteristika pomaže da se spreči nadgledanje korisnika od strane napadača. Problem sa sertifikatima je zahvatio i neke sajtove velikih organizacija, između ostalog i sajt američke vojske, koji koristi sertifikate izdate od strane američkog ministarstva odbrane.

Međutim, Firefox ne prepoznaje ministarstvo odbrane kao ovlašćenog provajdera sertifikata a tu nastaje problem i pretraživač odbacuje sertifikate američke vojske i ne pokazuje osnovnu stranicu sajta već samo upozorenje da sigurna konekcija nije mogla da bude uspostavljena i da je u pitanju sajt čijem sertifikatu ne može da se veruje.

Problem je nastao i sa sajtovima čiji sertifikati su istekli kao što su Google Checkout i Linkedln. Problem se takođe pojavljuje i na pojedinim intranet stranicama koje koriste SSC i prisiljava IT administratore da konfigurišu izuzetke u okviru pretraživača i radnog okruženja.

Pojedini posmatrači prilika smatraju da je Mozilla ovom karakterisitkom preterala. Najveći broj korisnika koji bi zbog neodgovarajućih ili isteklih sertifikata mogla da ima problema su neiskusni web surferi kojima svakako objašnjenje koje se pojavi kada pokušaju da iz Firefox-a otvore stranicu sa neodgovarajućim sertifikatom neće značiti ništa.

Veliki broj njih će se tu zaustaviti smatrajući da Web sajt jednostavno nije funkcionalan. Programer Nat Tuck je u svom blogu nazvao novu Firefox karakteristiku lošom za Web jer Mozilla Firefox 3 ograničava upotrebljive enkriptovane (SSL) web sajtove na one koji su voljni da plate sertifikat nekom od provajdera sertifikata koje Mozilla smatra legitimnim.

Tuck smatra da SSC ne obezbeđuju dovoljnu autentičnost Web sajtova, ali navodi da ignorisanje kompanije Mozilla kada su u pitanju SSL sertifikati kompanija koje ona ne priznaje nije dobro za Web. On čak ide toliko daleko da predlaže open source zastupnicima kreiranje izvedenog open source Firefox koda koji bi uključivao mogućnost sertifikovanja svih validnih SSL sertifikata.

Iz Mozilla-e navode da se SSC sertifikati odbijaju jer Firefox 3.0 nastoji da korisnike obrazuje o potencijalnim konsekvencama prihvatanja takvih sertifikata.