Nieuws
image

Mozilla eist einde aan spionagecertificaten

woensdag 15 februari 2012, 00:58 door Redactie, 2 reacties

Mozilla waarschuwt Certificate Authorities om geen 'spionagecertificaten' meer uit te geven, anders worden ze voor altijd uit Firefox verbannen. De waarschuwing is afkomstig van Kathleen Wilson, de eigenaar van Mozilla's CA Certificates Module. Certificate Authorities (CA) geven SSL-certificaten uit waarmee websites zich tegenover hun bezoekers kunnen identificeren en het internetverkeer kunnen versleutelen. SSL-certificaten mogen alleen worden uitgegeven aan de eigenaar van de website. Onlangs bekende CA Trustwave dat het een certificaat had uitgegeven aan een bedrijf, dat met dit certificaat zich als andere websites kon voordoen.

Dit man-in-the-middle certificaat zou zijn gebruikt om het internetverkeer van werknemers bij dit bedrijf te onderscheppen. Normaliter zou het bedrijf dit niet eenvoudig kunnen doen, omdat personeel dat op de websites van Microsoft of Google inlogt een SSL-waarschuwing zou krijgen. Door het 'spionagecertificaat' dacht de browser van werknemers dat het om een legitieme versleutelde verbinding ging, terwijl in werkelijkheid al het internetverkeer werd afgeluisterd.

Doodstraf
Beveiligingsonderzoeker en privacyexpert Chris Soghoian eiste dat Trustwave een "internetdoodstraf" zou krijgen, net als DigiNotar overkwam. Wilson heeft nu een voorstel voor Certificate Authorities gemaakt waarin staat dat ze geen certificaten mogen uitgeven die voor man-in-the-middle doeleinden zijn te gebruiken en aan het Mozilla rootprogramma zijn gekoppeld.

De browserontwikkelaar vraagt de SSL-uitgevers dan ook om alle bestaande sub-Certificate Authorities te controleren en in te trekken. Daarvoor zou een periode van twee of drie maanden staan. Daarna worden CA's die in overtreding zijn uit de browser verbannen. "Het is mijn bedoeling om duidelijk te maken dat dit soort gedag niet wordt getolereerd", aldus Wilson.

Beleid
In de praktijk zouden veel meer van dit soort spionagecertificaten worden gebruikt, ook al is Trustwave de enige die het bekende. "Mozilla heeft een beleid, er is geen reden om iets te vereisen dat toch al niet aan het beleid voldoet", zegt Eddy Nigg, CTO van StartCom en StartSSL in een reactie op het voorstel van Wilson. "Het beleid is niet veranderd en ik adviseer Mozilla om gewoon het eigen beleid toe te passen." Daarnaast ziet Nigg graag een lijst van Certificate Authorities die in overtreding waren.

Reacties (2)
15-02-2012, 10:58 door Anoniem
Natuurlijk niet normaal dat een bedrijf dit wil doen, maar vind het sowieso al raar dat een bedrijf dit via een CA moet doen (om daarmee nodeloos andere internetgebruikers in gevaar te brengen). In je eigen bedrijfsomgeving kan je namelijk prima je eigen (wildcard) certificaat als trusted markeren.
15-02-2012, 18:52 door S-q.
Een duidelijk geval van: "wat kan, gebeurd."
En denk nu maar niet dat dit geval op zich zelf staat!
(Al kan ik dat natuurlijk niet hard maken( ;-))

Ik ben benieuwd hoe Mozilla wil die spionagecertificaten wil opsporen.
Deze was toch ook niet zomaar ontdekt?

Het was de uitgever die zenuwachtig werd, toen die zich realiseerde dat wat twee bedrijven weten, geen geheim meer is en toen maar opbiechtte.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search