Nieuws
image

Mozilla waarschuwt voor onbekende Root CA in Firefox

woensdag 7 april 2010, 11:27 door Redactie, 3 reacties

Mozilla zorgde de afgelopen dagen voor de nodige paniek door te zeggen dat er een onbekende Root Certificate Authority in Firefox aanwezig was, maar het blijkt allemaal om een miscommunicatie te gaan. Kathleen Wilson, verantwoordelijk voor de CA certificates module, stelde voor dat de "RSA Security 1024 V3" root certificate authority uit Firefox werd verwijderd, omdat ze de huidige eigenaar niet kon vinden.

Zowel VeriSign als RSA lieten in een e-mail weten niet de eigenaar te zijn. Een Root CA zonder geldige eigenaar zou voor allerlei vertrouwensproblemen kunnen zorgen. Iets waar ook Mozilla's Gervase Markham zich zorgen over maakte. "Het gebrek aan transparantie in de bron van toegevoegde roots betekent dat we niet weten of een aanvaller er een eentje extra heeft toegevoegd aan de lijst die ze intern bij Netscape gebruikten en sindsdien mensen voor man-in-the-middle kwetsbaar maakt."

Opmerkelijk genoeg wordt de root in kwestie wel in Apple’s keychain system als legitiem beschouwd, maar niet in die van Microsoft.

Verwarring
Mozilla erkent dat er nodige verwarring over de root store is geweest. "In kort komt het erop neer dat we de RSA Security 1024 V3 root van de lijst verwijderen." De eigenaar heeft inmiddels tegen de ontwikkelaar bevestigd dat die niet meer gebruikt wordt en er geen huidige audits plaatsvinden. "We controleren regelmatig of de audits van roots zijn verlopen of als er geen up to date contact is", zegt Mozilla topman Johnathan Nightingale. Volgens hem is dit nodig om het root programma gezond te houden.

De root in kwestie zou een aantal jaren geleden op verzoek van RSA zijn toegevoegd. Toen Mozilla het bedrijf benaderde om de huidige gegevens van de root te bevestigen, kreeg men geen duidelijk antwoord of het nog wel of niet gebruikt werd. "We verwachten van elke root in ons programma om een bekende en actieve eigenaar te hebben." Aangezien RSA geen duidelijkheid kon verschaffen, heeft men besloten om de root te verwijderen. RSA heeft inmiddels bevestigd dat de root niet langer in gebruik is en verwijderd kan worden.

Wat betreft het toevoegen van de root door Apple en wat die er mee van plan is, is iets wat Apple het beste kan beantwoorden, aldus Nightingale.

Reacties (3)
07-04-2010, 11:58 door [Account Verwijderd]
[Verwijderd]
07-04-2010, 21:09 door Anoniem
Gewoon IE gebruiken.
08-04-2010, 01:39 door Anoniem
RSA neemt haar rol als CA dus niet serieus en daarmee is wederom bewezen dat het huidige model van certificaten niets meer is dan standaard niets meer dan hoop hebben dat alles goed gaat. Een serieuze CA weet welke root certificaten het in gebruik heeft en welke dus niet en geeft direct uitsluitsel aan het publiek. Een CA die niet meteen uitsluitsel kan geven en zelfs met twijfel komt is geen CA te noemen maar een bedrijf dat het werk enkel doet om het geld en niet serieus omgaat met de verantwoordelijkheid als CA, dus niet serieus omgaat met het kritieke vertrouwen dat ieder in een CA moet kunnen hebben. Wat mij betreft hoort RSA daarmee geheel geschrapt te worden uit de lijst van betrouwbare CAs.Wat ze hier hebben laten zien gaat nog verder dan het zomaar uitdelen van ondertekende certificaten of aannemen van reseller-CAs zonder harde eisen te stellen aan hun werk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search