SSL

Google Chrome 69 er søgegigantens seneste bud på en browser. Samtidig kan man tale om en jubilæumsudgave, da Chrome kan fejre sin 10-års fødselsdag.

Udgaven har fået justeret brugergrænsefladen og på sikkerhedsfronten er der kommet en password manager samt fokus på SSL-certifikater – et område som Google har prioriteret højt siden 2917. Browseren vil fremover kategoriserer sider uden SSL som usikre sider.

Efter planen skal Chrome 68 udkomme i en stabil version i juli. Det betyder, at du skal vænne dig til at møde en sikkerhedsadvarsel på de sider, der ikke anvender HTTPS.

Med lanceringen af Chrome 68 bliver alle HTTP-hjemmesider nemlig markeret som usikre i verdens suverænt mest populære webbrowser, og derfor bør du etablere en krypteret HTTPS-forbindelse til sin hjemmeside.

Faktisk er det ikke kun sider, der vender ud af huset, men også intranet-sider, som bliver berørt af Chrome-beslutningen.

ROBOT (Return Of Bleichenbacher’s Oracle Threat) er en sårbarhed i mange implementeringer af protokollen TLS (Transport Layer Security). Angribere kan udnytte sårbarheden til at dekryptere krypteret kommunikation.

Sårbarheden er en variant af Bleichenbacher-sårbarheden, som Daniel Bleichenbacher opdagede i 1998. Det er et side channel-angreb, hvor angribere ved at iagttage et systems opførsel kan regne ud, hvordan det krypterer data.

ROBOT udnytter PKCS #1 v1.5 padding errors til at knække krypteringen.

Tjenesten Let's Encrypt tilbyder gratis TLS-certifikater til brug på webservere. Svindlere kan bruge certifikater til at få forfalskede websteder til at virke mere tillidsvækkende.

Ifølge Vincent Lynch fra firmaet The SSL Store har Let's Encrypt fra marts 2016 til 6. marts 2017 udstedt 15.270 TLS-certifikater, som indeholder navnet PayPal.

Han anslår, at 96,7 procent af certifikaterne var beregnet til brug på phishing-websteder. Det er forfalskede websteder, der bruges til at narre brugernavn og password fra ofrene.