Certificate Authority Trustwave, dat willens en wetens een certificaat uitgaf waarmee een bedrijf certificaten kon uitgeven voor websites die het niet beheerde, verdient net als DigiNotar de "doodstraf", aldus een bekende beveiligingsonderzoeker. Op Bugzilla, de plek waar Firefox-gebruikers bugs kunnen aanmelden, barstte een discussie los toen bekend werd dat Trustwave het certificaat had uitgegeven.
De klant van het bedrijf kon daarmee het versleutelde verkeer van werknemers bekijken. Normaliter is het niet mogelijk om versleuteld verkeer tussen bijvoorbeeld Gmail of Hotmail en gebruikers in te zien, maar door het certificaat dat TrustWave uitgaf, kon het bedrijf voor deze domeinen geldige SSL-certificaten genereren.
"Trustwave wist toen het het certificaat uitgaf, dat het gebruikt zou worden om websites te signeren die niet door de zakelijke klant van Trustwave beheerd werden", zegt privacy- en beveiligingsonderzoeker Christopher Soghoian. "Trustwave verkocht een certificaat waarvan het wist dat het gebruikt zou worden om via een man-in-the-middle-aanval HTTPS-verkeer te onderscheppen."
DigiNotar
"Ongeacht het feit dat Trustwave sindsdien besefte dat het niet verstandig is om met dit soort activiteiten bezig te zijn, is de schade al aangericht. Met de macht van het root certificaat komt grote verantwoordelijkheid. Trustwave heeft zijn macht en vertrouwen misbruikt, en dus is hier de gepaste straf de doodstraf, van het root certificaat", merkt Soghoian op.
Een soortgelijke behandeling overkwam DigiNotar, toen bekend werd dat het het genereren van valse SSL-certificaten had verzwegen. Toen was het Tor dat als eerste het root certificaat van de Beverwijkse SSL-verstrekker verwijderde, en het bedrijf zo een "internet-doodstraf" gaf. Uiteindelijk volgde ook alle andere browsers. Of Trustwave het zelfde lot zal ondergaan is nog onduidelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.