Stockholm Waterfront 25-26 november 2019

”Det är en ständig karusell ”

Efter årets stora attacker mot certifikatutfärdare, nu senast mot Diginotar, så är certifikatfrågan en het potatis. Flera säkerhetsexperter har dömt ut säkerheten på webben. Robert Malmgren, på IT-säkerhetsföretaget Romab vill dock inte utropa certifikatens död, tvärtom tycker han att det är hög tid för fler än banker och e-handelsföretag att skaffa certifikat till sina sajter.

Efter årets stora attacker mot certifikatutfärdare, nu senast mot Diginotar, så är certifikatfrågan en het potatis. Flera säkerhetsexperter har dömt ut säkerheten på webben. Robert Malmgren, på IT-säkerhetsföretaget Romab vill dock inte utropa certifikatens död, tvärtom tycker han att det är hög tid för fler än banker och e-handelsföretag att skaffa certifikat till sina sajter.

 – Det har varit ett bryskt uppvaknande för många, men att det hände är inte ett dugg förvånande, det var bara en tidsfråga. För ett halvår sedan var det en liknande incident med företaget Comodo:s återförsäljare. Och nyligen publicerade några säkerhetsforskare en nygammal attack mot SSL. Det är problem, men ingen komplett kompromettering där SSL är heltigenom är hackat. Men vi kommer inte att sluta använda SSL för det, det finns i dag inget bättre alternativ, även om det finns arbete med det säger Robert Malmgren.

Men om nu certifikat uppenbarligen inte är säkra, varför ska vi använda dem, kan du utveckla?

  – Det kommer att komma nya säkerhetsproblem med SSL/TLS. Men så fungerar IT-säkerhet. Det är en ständig karusell av medel – nya attacker och sårbarheter  – och motmedel –  förbättrade skydd, nya skydd. Och just nu är det en hel del motmedel på gång. Mozilla foundation, Google, Microsoft och andra webbläsartillverkare har börjat se över rutiner och hantering och inkludering av så kallade rootcertifikat. Förbättringar av inbyggda kontroller i webbläsarnas hantering av certifikat är en annan viktigt aktivitet, där inte minst Google har legat i täten med Chrome. Det är en välkommen utveckling. Det sker också andra utvecklingsspår inom certifikathanteringsområdet. Arbete med nya standarder såsom HSTS, DANE och HASTLS hjälper oss att kunna gå runt några av de problem som finns med det nuvarande upplägget med PKI. Även mer alternativa lösningar än den nuvarande centraliserade och CA-beroende SSL-tekniken, såsom Moxie Marlinspikes Convergence är under utveckling.

I dag är det framför allt banker och e-handelsföretag som använder sig av certifikat. Vilka fler anser du borde ha intresse av att göra det?

 – En av huvudanledningen till att vi tittat på SSL/TLS är för att se hur det kan användas inte bara för skydd, utan också för att hjälpa till att förbättra förutsättningar för webbanvändare att skydda deras personliga integritet. Det gäller ju inte bara ekonomiska transaktioner eller vissa personuppgifter, utan även det faktum att man använt en viss sajt eller skickat över något som kan kopplas till ens person, såsom ens intressen. Alla sajter där man inte vill att någon ska stå och kolla vad man gör bakom ens axel borde ha ett intresse av att skaffa certifikat, till exempel politiska partier, fackföreningar och medie- och informations sajter.

Drar paralleller med tidigare incidenter

Robert ser paralleller med det som nu hänt Diginotar och en händelse som inträffade då han jobbade på KTH i början av 90-talet. Han var med och utredde en incident med massiva intrång, något som i slutändan ledde till polisanmälan och fällande dom för killen som gjorde attackerna.

– Ett av de system som angriparen lyckades ta sig in på var en dator som tillhörde det företag som aspirerade på att bli svensk topp-CA. Anledningen till att han kunde ta sig in där var att en av företagets ledare loggade in över nätet med okrypterad telnet, vilket han avlyssnade. Ända sedan den tidpunkten har jag tänkt att servrar som hanterar sådan känslig data måste skyddas väl, både såsom servrar betraktat men också i kommunikationen med den, men att dessa i praktiken ofta driftas utan tanke på säkerhet.

Incidenten med DigiNotar som nyligen inträffade visade enligt Robert på just detta. Ett företag som är certifikatutfärdare och som inte alls hanterade sin interna säkerhet, eller säkerhet i kundsystemen, väl.

 – Från den nu publicerade auditrapporten framgår det att de verkar ha gjort alla fel i boken. Och en enskild certifikatutfärdares tillkortakommanden, speciellt om man beter sig som DigiNotar och mörkar det inträffade under en relativt lång tid, kan äventyra hela systemet. Det är ett av problemen som vi får av den nuvarande modellen där webbläsarna har så många topp-certifikat som man litar obegränsat mycket på.

Dags att byta spår

Att fortsätta på samma spår som i dag, med det stora antalet certifikatutfärdare som finns, tror han inte på.

 – I stället skulle användaren bättre kunna styra vilka topp-certifikat man vill lita på. Eller man skulle till exempel kunna tänka sig att det finns certifikatutfärdare som begränsar sig explicit för .se-domänen, och så vidare, säger Robert Malmgren.

Seminarium på Internetdagarna

Under seminariet ”Säkra Certifikat på nätet?” på årets konferens kommer Robert att prata mer om SSL. Detta tillsammans med bland andra Jakob Schlyter från Kirei, som jobbar med utvecklingen av DANE, en DNS-baserad certifikattjänst. Dessutom kommer en helt ny undersökning från Romab om hur SSL använd i Sverige att presenteras. Resultaten från undersökningen håller han för sig själv fram till dess…

– Men jag kan säga så mycket som att SSL används förvånansvärt lite förutom bland banker och e-handlare. Det borde absolut vara fler. Det handlar om respekt för ens kunder och besökare. I princip skulle alla sajter där besökare lämnar ifrån sig personuppgifter eller information som är känslig för ens person skaffa certifikat, menar han.

På seminariet lovar han även att krossa några av de myter som enligt honom finns om SSL.

– Att det skulle vara jobbigt och svårt att sätta upp och konfigurera till exempel. Och att det skulle vara prestandatungt. Inget av det stämmer längre, moderna datorer klarar det.