image

Mozilla overweegt blacklist voor Superfish-certificaat

maandag 23 februari 2015, 11:57 door Redactie, 4 reacties

Mozilla overweegt om het Superfish-certificaat dat op laptops van Lenovo werd geïnstalleerd op een blacklist te zetten. Dat blijkt uit een discussie op Mozilla's Bugzilla, waar ontwikkelaars problemen en bugs in Mozilla-software bespreken. Door het certificaat op een blacklist te zetten zouden gebruikers certificaatwaarschuwingen die bij het gebruik van het Superfish-certificaat worden getoond niet kunnen negeren.

Via het rootcertificaat dat Superfish op de rootstore van computers installeert, de plek waar alle rootcertificaten zijn opgeslagen, kunnen SSL-verbindingen worden onderschept. Superfish laat namelijk alle SSL-verbindingen via het eigen certificaat lopen. Onderzoekers slaagden erin om het wachtwoord te kraken dat de privésleutel van het Superfish-certificaat gebruikt. Daardoor is het in bepaalde gevallen mogelijk om Man-in-the-Middle-aanvallen tegen systemen uit te voeren waarop Superfish en het certificaat actief zijn.

"Elk certificaat dat door veelgebruikte software aan rootstores wordt toegevoegd en waarvan de privésleutel bekend is, is een risico", zegt Gervase Markham op Bugzilla. Hij merkt op dat het gedrag van installatiesoftware die certificaten al dan niet op computers installeert kan veranderen. Een programma kan de ene week geen verdacht gedrag vertonen en dat een week later wel weer doen. "Zonder uitgebreid onderzoek weten we niet hoe ze precies werken, en in welke gevallen software rootlijsten kan wijzigen en ook welke rootlijsten."

Hoewel Mozilla-medewerkers in eerste instantie nogal huiverig waren om het certificaat op de blacklist te zetten heeft de beslissing van Microsoft om de Superfish-applicatie en het certificaat via Windows Defender en Security Essentials te verwijderen hier verandering in gebracht. "Dit maakt de weg voor ons vrij om het certificaat in te trekken", zegt Mozilla's Richard Barnes. Aangezien Microsoft het certificaat al op veel computers heeft verwijderd zal de impact van een eventuele blacklisting dan ook meevallen. "Het vult alleen de desinfectie aan", gaat Barnes verder. Of en wanneer het certificaat op de blacklist verschijnt is echter nog niet besloten.

Reacties (4)
23-02-2015, 13:43 door Rolfieo
Toch wel apart dan MS het gewoon heeft door gevoerd, en de OpenSource nog aan het discussiëren zijn of ze het wel willen doen en hoe ze het moeten doen.
23-02-2015, 14:07 door Anoniem
Door Rolfieo: Toch wel apart dan MS het gewoon heeft door gevoerd, en de OpenSource nog aan het discussiëren zijn of ze het wel willen doen en hoe ze het moeten doen.
Microsoft verwijderd Superfish, daar merken gebruikers 'niks' van.
Als Mozilla het certificaat aan de blacklist toevoegd krijgt een gebruiker die nog Superfish heeft op elke HTTPS website een certificaat foutmelding, Superfish speel namelijk nog steeds MITM. Gebruiker denkt K*T het werkt niet dan installer ik maar Chrome en opgelost.
Er is dus een verschil en dat verschil kan Mozilla gebruikers kosten....
23-02-2015, 14:28 door Erwtensoep
Door Rolfieo: Toch wel apart dan MS het gewoon heeft door gevoerd, en de OpenSource nog aan het discussiëren zijn of ze het wel willen doen en hoe ze het moeten doen.
Het gaat niet om hetzelfde. Microsoft blacklist het certificaat niet, maar verwijderd het incl. superfish.
Als Mozilla het certificaat in de browser blacklist, betekent het voor gebruikers die nog superfish op hun pc hebben staan dat elke HTTPS connectie via Firefox niet meer werkt. Het lost dus niet veel op en Mozilla verliest gebruikers aan browsers die het certificaat niet blacklisten, want dat werkt 'het internet' ineens weer.
Als MS het certificaat zou blacklisten ipv die rommel door Defender en MSE laten opruimen heb je dezelfde situatie.
23-02-2015, 14:50 door [Account Verwijderd] - Bijgewerkt: 23-02-2015, 14:55
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.