Magazín o bezpečnosti

Magazín o SSL certifikátech a certifikačních autoritách pro Vás píší odbornící z SSLmarketu.

Prohlížeč od Seznamu nemá rád SSL certifikáty

(16. 12. 2014) Největší český vyhledávač uvedl svůj vlastní prohlížeč. První, co nás zajímalo, byla práce s certifikáty. Jsme však hluboce zklamáni. Má nás Seznam.cz za hlupáky, když připravuje EV certifikáty o jejich hlavní výhodu?

Prohlížeč jde vlastní cestou

Nový prohlížeč od Seznamu je primárně určen pro uživatele služeb českého vyhledávače. Není možné nastavit jinou domovskou stránku, a samozřejmě pro něj neexistují doplňky, zejména ty na blokování reklam.

Zajímalo mne, jak bude nový certifikát zobrazovat SSL certifikáty. Je postaven na jádře Google Chrome, takže jsem očekával stejné vlastnosti. K mému překvapení je DV a OV certifikát zobrazen velice nevýrazně (nebojím se napsat neviditelně). Vedle zkrácené adresy je jen malý šedý zámek.

zobrazení DV certifikátu v seznam prohlížeči

Prohlížeč od Seznamu - zobrazení DV certifikátu

Co je však horší, EV certifikát nemá v adresním řádku uveden název organizace vlastníka certifikátu! V prohlížeči je uvedeno pouze "Zabezpečené připojení". Prohlížeč tak blokuje hlavní výhodu EV SSL certifikátů, kterou je právě název společnosti vlastníka v zeleném řádku. Když si navíc okno zmenšíte, zmizí i text "Zabezpečené připojení", a uvidíte jen malý zelený zámeček.

Seznam prohlížeč - EV certifikát

Prohlížeč od Seznamu - zobrazení EV certifikátu

Prohlížeč bohužel neumí ani tak základní věc, jako zobrazit detail připojení na server nebo detail certifikátu. Nemůžete ani zjistit, do kdy je certifikát platný. Pro srovnání porovnejte zobrazení certifikátu s prohlížečem Google Chrome, ze kterého Seznam prohlížeč vychází.

EV certifikat v Google Chrome

Zjednodušování by se nemělo přehánět

Chápu, že se Seznam snaží prohlížeč udělat pro uživatele co nejjednodušší, toho je však zcela nevhodná úprava. Má snad vývojový tým uživatele za hlupáky, že jim nedovolí vidět název majitele certifikátu, a dokonce neumí zobrazit jeho detail a parametry?

Doufám, že se jedná pouze o výstřelek vývojářů, a v další verzi bude zobrazení EV certifikátu opraveno. K vyšší bezpečnosti na internetu totiž prohlížeč rozhodně nepřispívá.

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Pole s hvězdičkou * jsou povinná.

Přidat komentář

Přehled komentářů

  • je to OK

    16. 12. 2014 17:00:12 | Ondra

    Já si myslím, že to je OK. Rozlišení EV je realizováno zeleným zámečkem, ostatní mají šedivý. Zabezpečení které není EV opravdu neříká nic o tom, že stránka je bezpečná, pouze jen to, že bezpečná je komunikace.

    Nezobrazení vlastníka v URL není velký prohřešek. Informace o platnosti certifikátu a způsobu připojení jsou informace, které jsou uživateli k ničemu. On není schopen to ovlivnit a častokrát netuší, co ty zkratky a značky znamenají. Neplatnost certifikátu se pozná snadno, zobrazovat tam datum je tedy zbytečnost. Co tam máte dál?

    PS: "Prohlížeč tak blokuje hlavní výhodu EV SSL certifikátů" - rozumím zásahu do core bysnysu a tak smysl vzniku tohoto článku :)

    Odpovědět

  • SSL/TLS

    17. 12. 2014 8:39:16 | Jarmil

    Ad Ondra:
    O certifikátu a o šifrovanym spojení by měl mít jakejkoliv uživatel (i BFU) MOŽNOST bejt informován maximálně. Jinak to celý (certifikáty, hashe, platnost, ověřitelnost, soukromý klíče, šifrování...) ztrácí smysl.
    Ostatně, podobnej prohlížeč bych neinstaloval ani svýmu dědovi - i na Firefoxu jde ostatně skoro všechno zakázat, a i zakázat hrabat se v nastavení. Navíc má účet s právy Users, a jakejkoliv malware se může tak maximálně dloubat v nose nebo v těch pár (samozřejmě i zálohovanejch) dokumentech...

    Odpovědět

  • Ad Jarmil

    17. 12. 2014 9:46:02 | Ondra

    Ještě jednou se zeptám, k čemu uživateli taková infomace je, když ji nedokáže ovlivnit? Pokud půjde do banky a zjistí, že místo TLS v1.2 se používá SSLv3 myslíte, že ho to nějak varuje? Beztak to bude mít zelený proužek s nápisem Česká Spořitelna, takže do banky půjde.

    K čemu bude uživateli informace, že bance končí certifikát zítra v poledne? Dneska ještě platí, tak je to OK. Zítra, až plati nebude, tak mu vyskočí hlášení o neplatném certifikátu. Opět informace, která nemá žádný význam

    O bezpečném ověření se má postarat sám prohlížeč a výsledek tohoto ověření má jasně indikovat, což prohlížeč dělá. Je to jediná důležitá informace pro BFU. Odpověď na otázku je to bezpečné? Ano/Ne

    Nezobrazení názvu vlastníka v URL je věc, která pošlapává bysnys certifikačních firem s pozlaceným velým ku... nic. Za X tisíc ročně můžete mít název firmy v URL! Hlavní význam EV certifikátu je ověřený vlastník a opět uživatel potřebuje pouze vědět, že vlastník byl někým ověřen. Jako dostatečnou informaci mu stačí url se zámečkem, která říká, že je tam kde chtěl být a ne někde jinde: Zabezpečené spojení - www.servis24.cz... Je zbytečné tam psát Česká Spořitelna, když totéž se objevuje hned pod tím, na zabezpečené stránce.

    Seznam Prohlížeč se taky dá nainstalovat s právy Users. Není to žádná ochrana, malware dneska cílí hlavně na uživatele, admin práva často ani nepotřebuje.

    Odpovědět

  • bfu

    18. 12. 2014 20:23:33 | fo-ol

    uvedomte si pro jake uzivatele je szn browser urcen. ti o nejakem SSL nemaji v drtive vetsine ani paru. to je jako vytky ze szn browser neumoznuje zobrazit zdrojovy kod stranky. opet: k cemu by to cilove skupine bylo?

    Odpovědět

  • SSl certifikát na seznamu

    5. 9. 2015 16:28:38 | Roman

    Dobrý den, já jsem si nahrál SSL certifikát a Seznam mě vyhodil z fultextového vyhledávání a hlásí mi to přesměřování domény. Google s tím problém nemá. Budu moc vděčný za každou radu, jak se vrátit do fultextu Seznamu. Moje stránky jsou https://www.masazeostrava.info/ Moc děkuji Roman

    Odpovědět