Mozilla verwijdert DigiNotar uit Firefox
Mozilla gaat ook de PKIoverheid-certificaten van DigiNotar uit Firefox verwijderen, wat voor problemen bij het bezoeken van DigiD.nl en andere overheidssites kan zorgen. De open source-ontwikkelaar werd eerder deze week nog door de Nederlandse overheid gevraagd om een uitzondering voor de PKIoverheid-certificaten te maken. Aanvallers hadden bij DigiNotar ingebroken en zelf SSL-certificaten gegenereerd. De Beverwijkse SSL-verstrekker geeft twee soorten certificaten uit, de Diginotar eigen merk certificaten en PKI Overheid certificaten, die voor DigiD.nl worden gebruikt. Overheidsinstantie GovCERT had laten weten dat deze certificaten niet waren gecompromitteerd, maar uit onderzoek van het Delftse Fox-IT blijkt dat dit niet valt uit te sluiten.
Voor de totale en permanente verwijdering van DigiNotar uit Firefox geeft Mozilla drie redenen. De eerste is dat DigiNotar voor nog onbekende redenen Mozilla niet waarschuwde. Ondanks dat een aantal van de gegenereerde certificaten voor addons.mozilla.org was uitgegeven.
Aanval
Daarnaast is nog steeds de omvang van de aanval onbekend. In eerste instantie werd gezegd dat er een frauduleus *.google.com certificaat was gegenereerd, later bevestigde DigiNotar dat het om meer dan 200 certificaten ging, voor meer dan twintig verschillende domeinen. Ook zijn er certificaten via één van DigiNotar’s andere intermediate certificaten uitgegeven, zonder dat dit goed gelogd werd.
"Het is daarom onmogelijk voor ons om te weten hoeveel frauduleuze certificaten er bestaan, of welke websites het doelwit waren", zegt Mozilla-topman Johnathan Nightingale in deze blogposting.
Vertrouwen
Mozilla heeft ook geen enkel vertrouwen dat DigiNotar het probleem onder controle heeft. "Daarnaast zorgt hun falen om ons niet te waarschuwen dat we ons ernstige zorgen maken dat we onze gebruikers tegen toekomstige aanvallen kunnen beschermen." Nightingale benadrukt dat DigiNotar uit alle Mozilla-producten wordt verwijderd. Inmiddels werkt de browserleverancier samen met Bits of Freedom om getroffen websites in te lichten.
"De integriteit van het SSL-systeem kan niet in geheimzinnigheid plaatsvinden. Dit soort incidenten demonstreren de noodzaak voor actieve, directe en uitgebreide communicatie tussen CA's en softwareleveranciers om onze gemeenschappelijke gebruikers op het internet te beschermen."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.