image

Schneier: Verwijder Comodo uit de browser

vrijdag 1 april 2011, 15:34 door Redactie, 8 reacties

Internetgebruikers zouden SSL-aanbieder Comodo uit hun browser moeten verwijderen, maar dat is een probleem, want gebruikers kunnen dat niet. Dat zegt beveiligingsgoeroe Bruce Schneier, die reageert op de recente aanval waarbij een Iraanse student valse certificaten voor Skype, Microsoft, Mozilla en Yahoo wist aan te vragen. Via de valse uitgegeven certificaten was het mogelijk om versleuteld HTTPS-verkeer af te luisteren.

Aanklacht
"Het veiligste voor ons gebruikers om te doen is het Comodo rootcertificaat uit onze browser te verwijderen, zodat geen van hun certificaten werkt, maar wij hebben die mogelijkheid niet", laat Schneier weten. Browserleveranciers zoals Microsoft, Mozilla en Opera zouden dit kunnen doen, maar Schneier denkt niet dat dit zal gebeuren.

"De economische prikkel werkt niet goed." Comodo zou namelijk elke browserleverancier kunnen aanklagen die dit doet, alsmede alle Comodo-klanten. "Het is dus slimmer voor de browserleveranciers om het probleem te negeren en aan ons gebruikers door te spelen." De opmerking van Schneier over het niet kunnen verwijderen gaat niet helemaal op, aangezien gebruikers dit wel zelf kunnen doen.

Reacties (8)
01-04-2011, 16:08 door Anoniem
Het verwijderen kan strict genomen inderdaad wel, het internetten kan daarna alleen niet meer zonder telkens SSL-foutmeldingen.
01-04-2011, 16:27 door sjonniev
Ik vond het altijd al een misser dat domweg zo'n beetje alle CA's in het OS of de browser gepleurd moesten worden. Maar ja anders wordt het te moeilijk hè?

Er zou een keuzemogelijkheid moeten zijn:

Leuk voor thuis: elke CA
Techneuten en zakelijk gebruik: je bepaalt zelf welke CA's je vertrouwt.

En wanneer je die Comodo (en andere) CA certificaten verwijderd heb je geen SSL foutmeldingen, maar SSL waarschuwingen! En die zouden dan terecht zijn...
01-04-2011, 17:14 door meeuw
De oplossing is simpel, standaard voor elk certificaat waarmee een verbinding is beveiligd de melding "Deze verbinding is beveiligd met een certificaat dat is uitgegeven door <<Naam CA>>." en drie knoppen "Weigeren", "Toestaan", "Dit certificaat altijd toestaan".
01-04-2011, 20:14 door [Account Verwijderd]
[Verwijderd]
01-04-2011, 20:54 door Anoniem
Grappig, op mijn zeer slecht ontworpen en zeer onveilige Mac (volgens de meeste hier dan) kan ik deze gewoon verwijderen...

Back to the drawing board fandroids!!
03-04-2011, 22:37 door Anoniem
Door meeuw: De oplossing is simpel, standaard voor elk certificaat waarmee een verbinding is beveiligd de melding "Deze verbinding is beveiligd met een certificaat dat is uitgegeven door <<Naam CA>>." en drie knoppen "Weigeren", "Toestaan", "Dit certificaat altijd toestaan".

Nee, dit is geen oplossing. Op deze wijze kan niet worden gecontroleerd of het een authentiek certificaat betreft.
De aanwezigheid van een authentiek root- en/of intermediate-certificaat, bijvoorbeeld gedownload (en geinstalleerd) van de website van de certificate authority van het betreffende certificaat dragen zorg voor de authenticiteit.
04-04-2011, 10:44 door Anoniem
Beetje stom dat in het artikel dan niet staat wat de naam van de betreffende Root-CA's zijn van Comodo, de meest gebruikte is volgens mij:

UTN-USERFirst
04-04-2011, 19:36 door Anoniem
een beetje ook dom van mij misschien, maar in de firefoxbrowser kun je toch bij de advanced en ecryptiontab in de browserinstellingen, certificaten zien bij de authoritiestab en dan staat er bij mij ook nog een deleteknop om een certificaat te verwijderen? of kan dat niet?
ik heb het niet uitgeprobeerd in ieder geval en ik weet niet of het bij andere browsers ook kan, omdat de firefox de enige is die ik bijna gebruik. graag wat feedback hierover, of andere browsers dat ook hebben en als het helemaal niet kan, kun je dan ook niets verstellen in de about:config mogelijkheid van firefox?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.