Avsnitt 27: Farliga certifikat

Publicerat: 26 juli, 2019
Kategori:
Uppskattad lästid: 2 minuter
Prenumerera på Bli säker-podden via: Apple Podcasts, Overcast, Pocket Casts eller Spotify
Illustration av Tess och Karl Emil Nikka som omslag till podcasten Bli Säker

Kazakstan har tagit övervakningen till en ny nivå. Detta till följd av ett statsutfärdat rotcertifikat som låter kazakstanska myndigheter bryta upp säkra HTTPS-anslutningar. Lyssna på veckans avsnitt för att höra mer om farliga certifikat!

Veckans avsnitt

Medborgarna i Kazakstan har börjat övervakas på ett sätt som aldrig tidigare skådats. Ett statsutfärdat rotcertifikat ligger till grund för övervakningen som låter kazakstanska myndigheter bryta upp annars säkra HTTPS-anslutningar från medborgarnas enheter. Något som inte blivit speciellt uppmärksammat i svenska medier. I veckans podd pratar Nikka och Tess om hur oroväckande denna integritetskränkning är och förklarar hur certifikatskedjorna fungerar.

Tidskoder i avsnittet

00.00 Inledning

01.29 Mac OS- och IOS-uppdateringar

04.02 Felaktig rapportering om VLC

08.01 Farliga certifikat

24.16 Veckans lyssnarfråga

27.59 Avslutning

Omtalat i avsnittet

Nikka Systems, ”Julis säkerhetsuppdateringar för Mac OS och iOS”

Nikka Systems, Felaktig rapportering om VLC Media Player

VLC:s kritik av bugghanteringen och -rapporteringen

ZDnet, ”Kazakhstan government is now intercepting all https traffic”

ZDnets, ”Kazakhstans https interception efforts target Facebook, Google, Twitter, others”

BBC:s rapportering om händelserna i Kazakstan

Lastpass Pocket-appen för Windows

Visa certifikatkedjan

Är du nyfiken på hur du kan inspektera hela certifikatkedjan? Det exakta tillvägagångssättet varierar något mellan olika operativsystem och webbläsare.

Granska certifikatkedjan i Google Chrome

  1. Klicka på hänglåset i adressfältet och välj Certifikat
  2. I Windows växlar du till fliken Certifieringssökväg medan du i Mac OS ser kedjan direkt. Du kan exempelvis konstatera att certifikatet för SVT är utfärdat av Geotrust som i sin tur är betrodda tack vare Digicerts rotcertifikat

Hur du går tillväga för att identifiera certifikatkedjan

Kontrollera fingeravtryck

Om du vill jämföra ett certifikats fingeravtryck bör du göra följande:

  1. Växla till fliken Information och skrolla ned till Tumavtryck (Windows). I Mac OS visas fingeravtrycket längst ned när fliken Detaljer fälls ut (jämför Fingeravtryck SHA-1).

I dagsläget är SVT:s fingeravtryck (SHA-1) följande:
3ab15322a0ab3e64260c0ae0cd354c39f0ce863d.

Hur du granskar tumavtryck

Visar din webbläsare samma fingeravtryck? Då har ingen MITM-attack (Man-in-the-Middle-attack) utförts mot ditt besök på SVT:s webbplats. Om din webbläsare däremot visar ett annat fingeravtryck kan det antingen bero på att SVT har uppdaterat sitt certifikat sedan denna artikel publicerades eller på att någon/något utför en MITM-attack. Det är troligtvis en legitim sådan, till exempel en företagsbrandvägg eller ett antivirusprogram. Om du inte hittar en rimlig förklaring kan du be om råd i Säkerhetsbubblan.

Tidigare avsnitt

Samtliga Bli säker-avsnitt

Dela med dina vänner

Välj din webmail