Změny indikátorů bezpečnosti ve Firefox a Chrome

6. 11. 2015 | Jindřich Zechmeister

Prohlížeč Firefox ve verzi 42 upravuje grafické znázornění HTTPS na webu, kterému říká bezpečnostní indikátor. Změny chybových hlášek proběhly v říjnu také u Chrome. Pojďme se podívat na novinky a novou podobu zobrazení SSL certifikátu na webu s HTTPS protokolem.

Co se v indikátorech změní?

Podívejme se postupně na změny ve dvou nejpopulárnějších prohlížečích.

Mozilla Firefox

Na grafickém přehledu níže vidíte hlavní změny. Redesignu doznala ikona DV certifikátu - typický zámek už není černý, ale zelený. Nejdůvěryhodnější EV certifikáty se zeleným pruhem se naopak nemění.

Hlavní změny se týkají smíšeného obsahu, který prohlížeč blokuje. Smíšený obsah znamená nějaký prvek stránky načítaný přes nezabezpečené HTTP a věnujeme se mu v článku Smíšený obsah - rozbité stránky a bezpečnostní riziko.

Mozilla dělí smíšený obsah na dva typy - aktivní a pasivní obsah. Pasivním obsahem jsou například obrázky, které jsou samy o sobě neškodné, ale měly by být načteny přes HTTPS. Aktivním obsahem jsou například skripty, které už mohou být pro uživatele škodlivé. Po povolení blokovaného smíšeného obsahu se uživateli zobrazí přeškrtnutý zámek (aktivní obsah) nebo zámek s výstrahou (pasivní obsah).

Srovnání starého a nového zobrazení HTTPS ve FirefoxuSrovnání starého a nového zobrazení HTTPS ve Firefoxu. Pro zvětšení klikněte.

Stejné změny najdete i v mobilní verzi prohlížeče Firefox for Android.

Google Chrome

V současnosti nejpopulárnější prohlížeč zjednodušil indikaci zabezpečení pro smíšený obsah. Nyní existují v Chrome (46 a novější) pouze 3 stavy. HTTPS se smíšeným obsahem (obecně s "errory") nebude mít žádnou indikaci zabezpečení (bude vypadat, jako HTTP). Bohužel tak můžete snadno přijít o zelený pruh EV certifikátu. Přeškrtnuté červené HTTPS bude v budoucnu používáno pro certifikáty s SHA-1.

Bezpečnostní indikátory Google Chrome

Bezpečnostní indikátory Google Chrome jsou zjednodušeny a zůstaly jen 3.

Další změna uživatelského prostředí čeká Chrome ve verzi 48, kdy budou detaily o spojení se serverem přemístěny mimo dosah běžného uživatele (do konzole). Časem chce Google upozornění ještě zjednodušit a používat pouze zelený a červený stav.

Mimochodem, víte, proč Chrome upozorňuje na použití zastaralé šifrovací sady? Za moderní šifrovací sadu považuje takovou, která pro výměnu klíčů používá ECDHE. Výměna klíčů pomocí RSA vyvolává hlášku o použití zastaralé šifrovací sady a pro její odstranění musíte oslovit správce serveru, který upraví konfiguraci a preference šifrovacích sad.

Podmínky moderní šifrovací sady podle Chrome:

  • TLS 1.2 nebo QUIC (protokol)
  • AES_128_GCM či CHACHA20_POLY1305 (šifra)
  • DHE_RSA nebo ECDHE_RSA nebo ECDHE_ECDSA (key exchange)

Informace pochází od Google a najdete je na stránce TLS/SSL Chromium projektu. OpenSSL CHACHA20 neumí, proto použijte ECDHE-RSA-AES128-GCM-SHA256, která odpovídá TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 v označování podle Google. Více o problému najdete v článku Why your A grade SSL is 'outdated cryptography' on Chrome. Jeho název upozorňuje na paradox, kdy nastavení HTTPS ohodnocené SSLlabs známkou A je pro Chrome zastaralé.

Máte s certifikátem problém? Poraďte se s námi

Zkontrolujte si svou doménu se SSL certifikátem v novém Firefoxu. Uvidíte-li něco zvláštního, neváhejte se na nás obrátit. Pomůžeme vám případné chyby z webu odstranit. Kontakty na podporu SSLmarketu najdete na obvyklém místě a můžete se nás ptát i na Facebooku či Twitteru.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz