Тестовые версии Chrome и Firefox перестали открывать сайты с SSL-сертификатами Symantec, которые были выпущены для google.com, но используются на многих сайтах. Зайти на такие сайты скоро не получится.
Дело в том, что эти сертификаты были созданы компанией Symantec без соблюдения стандартов безопасности и, например, использует шифрование SHA-1, хотя оно не предназначено для таких целей. Используя уязвимость в сертификате, злоумышленник может подменять оригинальный сайт любой другой страницей, хотя значок https останется зелёным и не будет сигнализировать о проблемах с безопасностью.
ИБ-специалист Артём Тамоян выяснил, что скомпрометированный сертификат Symantec используется на сайтах нескольких российских банков, в том числе https://online.sberbank.ru, https://www.rshb.ru, https://www.open.ru, https://enter.unicredit.ru. Наличие соединения по протоколу HTTPS в данном случае не гарантирует защиту от перехвата или подмены данных.
Тамоян обратился к «Сбербанку» в твиттере, указав на проблему. Сотрудник банка, вероятно, не разобрался в ситуации и посоветовал ему заходить в личный кабинет не через поисковик, а по гиперссылке с официального сайта.
В скором времени Google и Mozilla выпустят обновления стабильных сборок браузеров, в которых сайты с проблемными сертификатами Symantec перестанут открываться у всех пользователей.
Канал iG в Telegram — t.me/iguides_ru
