Mozilla gaat ook de PKIoverheid-certificaten van DigiNotar uit Firefox verwijderen, wat voor problemen bij het bezoeken van DigiD.nl en andere overheidssites kan zorgen. De open source-ontwikkelaar werd eerder deze week nog door de Nederlandse overheid gevraagd om een uitzondering voor de PKIoverheid-certificaten te maken. Aanvallers hadden bij DigiNotar ingebroken en zelf SSL-certificaten gegenereerd. De Beverwijkse SSL-verstrekker geeft twee soorten certificaten uit, de Diginotar eigen merk certificaten en PKI Overheid certificaten, die voor DigiD.nl worden gebruikt. Overheidsinstantie GovCERT had laten weten dat deze certificaten niet waren gecompromitteerd, maar uit onderzoek van het Delftse Fox-IT blijkt dat dit niet valt uit te sluiten.
Voor de totale en permanente verwijdering van DigiNotar uit Firefox geeft Mozilla drie redenen. De eerste is dat DigiNotar voor nog onbekende redenen Mozilla niet waarschuwde. Ondanks dat een aantal van de gegenereerde certificaten voor addons.mozilla.org was uitgegeven.
Aanval
Daarnaast is nog steeds de omvang van de aanval onbekend. In eerste instantie werd gezegd dat er een frauduleus *.google.com certificaat was gegenereerd, later bevestigde DigiNotar dat het om meer dan 200 certificaten ging, voor meer dan twintig verschillende domeinen. Ook zijn er certificaten via één van DigiNotar’s andere intermediate certificaten uitgegeven, zonder dat dit goed gelogd werd.
"Het is daarom onmogelijk voor ons om te weten hoeveel frauduleuze certificaten er bestaan, of welke websites het doelwit waren", zegt Mozilla-topman Johnathan Nightingale in deze blogposting.
Vertrouwen
Mozilla heeft ook geen enkel vertrouwen dat DigiNotar het probleem onder controle heeft. "Daarnaast zorgt hun falen om ons niet te waarschuwen dat we ons ernstige zorgen maken dat we onze gebruikers tegen toekomstige aanvallen kunnen beschermen." Nightingale benadrukt dat DigiNotar uit alle Mozilla-producten wordt verwijderd. Inmiddels werkt de browserleverancier samen met Bits of Freedom om getroffen websites in te lichten.
"De integriteit van het SSL-systeem kan niet in geheimzinnigheid plaatsvinden. Dit soort incidenten demonstreren de noodzaak voor actieve, directe en uitgebreide communicatie tussen CA's en softwareleveranciers om onze gemeenschappelijke gebruikers op het internet te beschermen."
Deze posting is gelocked. Reageren is niet meer mogelijk.