Kazakstan har tagit övervakningen till en ny nivå. Detta till följd av ett statsutfärdat rotcertifikat som låter kazakstanska myndigheter bryta upp säkra HTTPS-anslutningar. Lyssna på veckans avsnitt för att höra mer om farliga certifikat!
Veckans avsnitt
Medborgarna i Kazakstan har börjat övervakas på ett sätt som aldrig tidigare skådats. Ett statsutfärdat rotcertifikat ligger till grund för övervakningen som låter kazakstanska myndigheter bryta upp annars säkra HTTPS-anslutningar från medborgarnas enheter. Något som inte blivit speciellt uppmärksammat i svenska medier. I veckans podd pratar Nikka och Tess om hur oroväckande denna integritetskränkning är och förklarar hur certifikatskedjorna fungerar.
Tidskoder i avsnittet
00.00 Inledning
01.29 Mac OS- och IOS-uppdateringar
04.02 Felaktig rapportering om VLC
08.01 Farliga certifikat
24.16 Veckans lyssnarfråga
27.59 Avslutning
Omtalat i avsnittet
Nikka Systems, "Julis säkerhetsuppdateringar för Mac OS och iOS"
Nikka Systems, Felaktig rapportering om VLC Media Player
VLC:s kritik av bugghanteringen och -rapporteringen
ZDnet, "Kazakhstan government is now intercepting all https traffic"
ZDnets, "Kazakhstans https interception efforts target Facebook, Google, Twitter, others"
BBC:s rapportering om händelserna i Kazakstan
Lastpass Pocket-appen för Windows
Visa certifikatkedjan
Är du nyfiken på hur du kan inspektera hela certifikatkedjan? Det exakta tillvägagångssättet varierar något mellan olika operativsystem och webbläsare.
Granska certifikatkedjan i Google Chrome
Klicka på hänglåset i adressfältet och välj Certifikat
I Windows växlar du till fliken Certifieringssökväg medan du i Mac OS ser kedjan direkt. Du kan exempelvis konstatera att certifikatet för SVT är utfärdat av Geotrust som i sin tur är betrodda tack vare Digicerts rotcertifikat
Kontrollera fingeravtryck
Om du vill jämföra ett certifikats fingeravtryck bör du göra följande:
Växla till fliken Information och skrolla ned till Tumavtryck (Windows). I Mac OS visas fingeravtrycket längst ned när fliken Detaljer fälls ut (jämför Fingeravtryck SHA-1).
I dagsläget är SVT:s fingeravtryck (SHA-1) följande:
3ab15322a0ab3e64260c0ae0cd354c39f0ce863d.
Visar din webbläsare samma fingeravtryck? Då har ingen MITM-attack (Man-in-the-Middle-attack) utförts mot ditt besök på SVT:s webbplats. Om din webbläsare däremot visar ett annat fingeravtryck kan det antingen bero på att SVT har uppdaterat sitt certifikat sedan denna artikel publicerades eller på att någon/något utför en MITM-attack. Det är troligtvis en legitim sådan, till exempel en företagsbrandvägg eller ett antivirusprogram. Om du inte hittar en rimlig förklaring kan du be om råd i Säkerhetsbubblan.
