Vanwege alle recente problemen met SSL, waaronder de aanval op Certificate Authority (CA) Comodo, is er een Firefox-plugin ontwikkeld die Certificate Authorities volledig omzeilt. De Convergence uitbreiding is het werk van de bekende beveiligingsonderzoeker en CTO van Whisper Systems, Moxie Marlinspike. Tijdens de aanval op Comodo wist een Iraanse hacker Comodo geldige certificaten voor websites van Google, Microsoft, Mozilla en Yahoo uit te laten geven. SSL-certificaten worden gebruikt om het verkeer tussen websites en bezoekers te versleutelen en dienen ook als identificatie van websites.
De aanval had geen gevolgen voor Comodo, aldus Marlinspike. Als het SSL-systeem echter wil werken, zijn integriteit en authenticiteit nodig. Op dit moment werkt het systeem niet naar behoren, omdat authenticiteit de zwakste schakel is, aldus de onderzoeker. "Het echte verhaal met de Comodo-aanval, is dat het niet uniek is. Het gebeurt dagelijks."
Betrouwbaar
Marlinspike merkt op dat Comodo niet zo betrouwbaar is als het zou moeten zijn, maar dat gebruikers onder het huidige systeem niets kunnen doen. Comodo behoort tot de één na grootste uitgever van SSL-certificaten. Het verwijderen van deze CA in de browser, zou ervoor zorgen dat gebruikers een kwart van het internet niet meer kunnen bezoeken. Dat is volgens de ontwikkelaar ook de reden dat Comodo nog steeds in de verschillende browsers aanwezig is.
"We hebben de beslissing gemaakt om Comodo te vertrouwen. En nu zitten we eraan vast om ze voor altijd te vertrouwen, en dat is de essentie van het probleem." Ook hebben gebruikers niet de mogelijkheid om te bepalen welke CA's ze willen vertrouwen. Als een gebruiker een website bezoekt, maakt die verbinding met de Certificate Authority, die het SSL-certificaat authenticeert. Marlinspike wil het systeem wijzigen, zodat de gebruiker kan bepalen met welke CA hij verbinding maakt om het certificaat van de website te authenticeren.
Convergence is dan ook ontwikkeld om CA's te vervangen. In plaats van een Certificate Authority, is er een 'notaris' die de authenticiteit van het SSL-certificaat controleert, tijdens de eerste keer dat de gebruiker de website bezoekt. De certificaten worden lokaal door de browser opgeslagen en bij volgende bezoeken gecontroleerd. Zolang de certificaten overeenkomen, is er geen noodzaak om de notaris te benaderen. Tijdens de DefCon hackerconferentie won Whisper Systems de award voor privacybeschermer.
Deze posting is gelocked. Reageren is niet meer mogelijk.