תמיד כשאני נופל על אתרים שהדפדפן מתריע על תעודה דיגיטלית שאינה בתוקף במסגרת קישור SSL, אני חוטף קריזה.
כמה? כמה קשה לנהל רישום של תעודות ולשים תזכורת באאוטלוק לרכוש תעודה חדשה, ככה, חודש לפני תפוגת התעודה הקיימת? כמה קשה?!
אז הנה דוגמא שנתקלתי בה היום (בתזמון מופלא עם ההמלצה של MS להפסיק להשתמש ב-MD5 בתעודות דיגיטליות. ת.נ.צ.ב.ה.), ובחברה לא קטנה ושאני משער שלא ניתן להגיד שלא אכפת לה מאבט"מ, "בזק".
חיפשתי בגוגל טלפון של חברה מסוימת, והקישור מגוגל הוביל משום מה לדף מבוסס SSL, באתר המן-הסתם-פופולרי, 144 של בזק (https://www.b144.co.il), וזו הודעת האזהרה שקיבלתי מ-FF (הקליקו):
בנוסף, כפי שתשימו לב, התעודה פגה ב-25/11/2008, כלומר, לפני יותר מחודש…
אז נכון, מן הסתם רוב המשתמשים באתר זה לא צריכים SSL, אבל יש חלק באתר שנועד לעסקים שרוצים לקדם עצמם בתוצאות החיפוש (…), וכאשר ניגשים מהדף הראשי של האתר אל דף ה-Login עבור עסקים אלו (קישור ייעודי), הקישור בכלל לא עובר ל-SSL אלא נשאר ב-Clear…
אין במסגרת טופס ההזדהות אפילו קישור המציע טופס מאובטח עם הפנייה ל-SSL, למי שרוצה להגן על נתוני ההזדהות שלו.
אז נגיד שחוסר השימוש ב-SSL הוא החלטה של הארגון שלא להשתמש ב-SSL.
בסדר, לגיטימי, אבל לפחות תסגרו את הגישה ל-443 ב-FW או שתעשו הפניה אוטומטית חזרה לאתר הרגיל – העיקר שלא להפגין סטטוס אבטחה לא שלם למי שינסה בכל אופן, באופן עצמאי, לאבטח את נתוני ההזדהות שלו ע"י שינוי ה-HTTP ל-HTTPS.
הראיה שלי את נושא ה-SSL היא שלא מדובר רק בעניין אבט"מ טהור, אלא גם במוניטין וברצינות של הארגון (ולו ברמת הנִרְאוּת (Visibility)), עד כמה הוא מסייע ללקוחות שלו לשמור על פרטיות וסודיות המידע שלהם – כך שהיעדר שימוש ב-SSL בדף ההזדהות + אי-עדכון התעודה הדיגיטלית רומז ללקוחות הארגון שאבטחת מידע, לפחות זו הרלוונטית למידע של הלקוחות, אינה כל כך מעניינת אותו.
מסכים עם כל מה שכתבת להוציא נושא "מוניטין ורצינות הארגון". אני לא מכיר את הנושא בעולם הגדול אבל בשלולית שלנו אנו נתקלים בהרבה ארגונים עסקיים שלא שמים על זה. חבל.