A magyar internetezőket ért adathalász támadások után talán már beépült a köztudatba, hogy egy weboldalon akkor lehet biztonságosan megadni adatokat, ha a böngésző állapotsorában - az ablak alján lévő keskeny csíkon - egy zárt lakat ikonja jelenik meg. Műszaki értelemben a lakat azt jelzi, hogy a weboldal használt úgynevezett SSL tanúsítványt, tehát a weboldal az, aminek mondja magát.
Nyár elején porszem került a gépezetbe, a Debian bejelentette, hogy az általa terjesztett OpenSSL csomag hibás, és az általa létrehozott tanúsítványok emiatt biztonsági kockázatot hordoztak. A kódhiba miatt a Debian Linux szervereken generált tanúsítványok kulcsait egy képzett adathalász három óra alatt képes lett volna megfejteni.
Megfejtett kulcspárok birtokában egy szakértő létrehozhat olyan SSL tanúsítványt, amely teljesen megegyezik az eredeti oldalon használt SSL tanúsítvánnyal. A hamis tanúsítványt egy hamis weboldalhoz, például egy banki szájt másolatához illesztve adatokat lehet kicsalni az internetezőktől, akik a lakatot látva joggal hiszik, hogy biztonságban vannak. Magyarán nem elég a tanúsítvány, annak biztonságosnak is kell lennie, írta a weboldalak hitelesítésével foglalkozó NetLock sajtóközleménye.
Magyar helyzet van
A NetLock a Debian bejelentése nyomán megvizsgálta hetvenezer magyar weboldal biztonságát. Alig háromezer szájtnak volt SSL tanúsítványa, de ezek közül tizennégy százalék kriptográfiailag gyenge volt a tanúsítványa, azaz érintette a Debian hibája. A NetLock szerint ez a helyzet aggasztó, mivel az eredmény pontosan azt mutatja, hogy a magyarországi szájtok többsége egyáltalán nem, vagy nem megfelelõen használja az SSL technológiát. Ezeken a weboldalakon bizalmas információt, jelszavakat megadni, kereskedni vagy adatforgalmat bonyolítani nem biztonságos.