Nieuws
image

Mozilla eist vernietiging hardware security modules

zaterdag 18 februari 2012, 11:00 door Redactie, 5 reacties

Mozilla heeft Certificate Authorities een deadline gegeven om te stoppen met het uitgeven van spionage-certificaten, anders worden ze voor altijd uit Firefox verbannen. Certificate Authorities (CA) geven SSL-certificaten uit waarmee websites zich tegenover hun bezoekers kunnen identificeren en het internetverkeer kunnen versleutelen. SSL-certificaten mogen alleen worden uitgegeven aan de eigenaar van de website. Onlangs bekende CA Trustwave dat het een certificaat had uitgegeven aan een bedrijf, dat met dit certificaat zich als andere websites kon voordoen.

Woensdag publiceerde Mozilla al een voorstel dat het naar CA's wilde sturen. Dat voorstel is nu naar alle SSL-uitgevers gestuurd. Daarin maakt de browserontwikkelaar duidelijk dat het niet meer de uitgifte van SSL-certificaten voor het uitvoeren van man-in-the-middle-aanvallen accepteert, ook al vinden die in een gesloten netwerk plaats.

Doodstraf
Tevens zijn er verschillende eisen gesteld. Zo moeten alle 'spionagecertificaten' worden ingetrokken en de hardware security modules (HSM) waarin ze gebruikt zijn, worden vernietigd. De HSM is een cryptoprocessor die digitale sleutels beheert. Het gaat om een fysiek apparaat in de vorm van een insteekkaart of extern apparaat dat op een computer is aan te sluiten. Verder wil Mozilla de serienummers en vingerafdrukken van de uitgegeven spionagecertificaten en 'signing roots', zodat het die op de zwarte lijst kan zetten.

Mozilla topman Johnathan Nightingale merkt op dat de ontwikkelaar alles zal doen om gebruikers te beschermen. Die bescherming wordt beter bij een goede samenwerking tussen browserontwikkelaars en Certificate Authorities. CA's die echter niet voor 27 april van dit jaar aan het verzoek van Mozilla voldoen, krijgen net als DigiNotar een 'internetdoodstraf'.

Reacties (5)
18-02-2012, 11:08 door [Account Verwijderd]
[Verwijderd]
18-02-2012, 11:41 door pvliesdonk
Waarom ze die internetdoodstraf niet rechtstreeks uitvoeren?
Enerzijds weten ze natuurlijk gewoon niet welke CAs ze dan moeten blokkeren, tenzij die CA dat toegeeft of wanneer er bewijs wordt gevonden in de vorm van certificaten.
Anderszijds zitten er waarschijnlijk grote uitgevers (met veel echte certificaten) tussen. Als je die blokkeert switcht het meerendeel gewoon naar een andere browser om er vanaf te zijn.

Nu is er mooi een tussenweg: de CAs kunnen hun zaakjes op orde brengen en de echte certificaten geldig laten. Maar ze zijn ook gewaarschuwd dat wanneer in de toekomst zo'n mitm-certificaat gevonden wordt er onmiddellijk een doodstraf volgt.
18-02-2012, 21:13 door Anoniem
Ik ben benieuwd wat een rechter van deze eisen gaat vinden.
19-02-2012, 10:41 door Anoniem
Door Anoniem: Ik ben benieuwd wat een rechter van deze eisen gaat vinden.
Een rechter gaat niets vinden, aangezien dit een civiele zaak is en geen strafrecht.
19-02-2012, 11:41 door SPlid
wat als alle CA's deze spionage certificaten uitgeven ?
Ik neem aan dat sommige CA's worden gedwongen dit te doen. Misschen moeten we maar gecertificeerde
CA's instellen ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search