Mozilla heeft het vertrouwen in de Maleisische Certificate Authority (CA) DigiCert opgezegd omdat het bedrijf SSL-certificaten met zwakke sleutels genereerde. Het gaat om certificaten voor de Maleisische overheid en interne websites. Volgens Mozilla zijn er geen aanwijzingen dat de 22 certificaten op frauduleuze wijze zijn uitgegeven, zoals met DigiNotar het geval was. Vanwege de zwakke sleutels zou een aanvaller de certificaten toch kunnen compromitteren en zich als de website kunnen voordoen waarvoor de certificaten zijn uitgegeven.
Daarnaast hadden de DigiCert-certificaten met andere technische problemen te maken. Zo ontbrak er een EKU extensie waarin het precieze gebruik werd omschreven en waren de certificaten ook zonder informatie uitgegeven om ze weer in te trekken.
Vertrouwen
De browserontwikkelaar merkt op dat het geen Firefox-specifiek probleem betreft, maar dat het zelf wel besloten heeft om het vertrouwen in DigiCert op te zeggen.
DigiCert is een CA die onder Entrust en Verizon (GTE CyberTrust) valt. Het heeft echter niets te maken met het Amerikaanse bedrijf DigiCert, dat onderdeel van Mozilla's root-programma is. Entrust laat weten dat het de certificaten op of voor 8 november zal intrekken, zodat Maleisische klanten de tijd hebben om hun SSL-certificaten te vervangen.
Het Certificate Authority-model ligt vanwege verschillende incidenten al geruime tijd onder vuur. Toch is er nog altijd geen concrete oplossing voorhanden, hoewel sommige partijen daar wel aan werken. Zo lanceerde beveiligingsonderzoeker Moxie Marlinspike het CA-alternatief Convergence.
Update 10:15
Ook Microsoft heeft het vertrouwen in de DigiCert-certificaten opgezegd. De handelswijze van de Maleisische certificaatverstrekker zou in strijd met de vereisten van het Microsoft Root Programma zijn. "Deze CA heeft duidelijk slechte security practices gedemonstreerd en Microsoft is van plan om het vertrouwen in de certificaten op te zeggen", zegt Trustworthy Computing manager Jerry Bryant. De softwaregigant hiervoor binnenkort de Untrusted Certificate Store updaten.
Deze posting is gelocked. Reageren is niet meer mogelijk.