Mozilla eist einde aan spionagecertificaten
Mozilla waarschuwt Certificate Authorities om geen 'spionagecertificaten' meer uit te geven, anders worden ze voor altijd uit Firefox verbannen. De waarschuwing is afkomstig van Kathleen Wilson, de eigenaar van Mozilla's CA Certificates Module. Certificate Authorities (CA) geven SSL-certificaten uit waarmee websites zich tegenover hun bezoekers kunnen identificeren en het internetverkeer kunnen versleutelen. SSL-certificaten mogen alleen worden uitgegeven aan de eigenaar van de website. Onlangs bekende CA Trustwave dat het een certificaat had uitgegeven aan een bedrijf, dat met dit certificaat zich als andere websites kon voordoen.
Dit man-in-the-middle certificaat zou zijn gebruikt om het internetverkeer van werknemers bij dit bedrijf te onderscheppen. Normaliter zou het bedrijf dit niet eenvoudig kunnen doen, omdat personeel dat op de websites van Microsoft of Google inlogt een SSL-waarschuwing zou krijgen. Door het 'spionagecertificaat' dacht de browser van werknemers dat het om een legitieme versleutelde verbinding ging, terwijl in werkelijkheid al het internetverkeer werd afgeluisterd.
Doodstraf
Beveiligingsonderzoeker en privacyexpert Chris Soghoian eiste dat Trustwave een "internetdoodstraf" zou krijgen, net als DigiNotar overkwam. Wilson heeft nu een voorstel voor Certificate Authorities gemaakt waarin staat dat ze geen certificaten mogen uitgeven die voor man-in-the-middle doeleinden zijn te gebruiken en aan het Mozilla rootprogramma zijn gekoppeld.
De browserontwikkelaar vraagt de SSL-uitgevers dan ook om alle bestaande sub-Certificate Authorities te controleren en in te trekken. Daarvoor zou een periode van twee of drie maanden staan. Daarna worden CA's die in overtreding zijn uit de browser verbannen. "Het is mijn bedoeling om duidelijk te maken dat dit soort gedag niet wordt getolereerd", aldus Wilson.
Beleid
In de praktijk zouden veel meer van dit soort spionagecertificaten worden gebruikt, ook al is Trustwave de enige die het bekende. "Mozilla heeft een beleid, er is geen reden om iets te vereisen dat toch al niet aan het beleid voldoet", zegt Eddy Nigg, CTO van StartCom en StartSSL in een reactie op het voorstel van Wilson. "Het beleid is niet veranderd en ik adviseer Mozilla om gewoon het eigen beleid toe te passen." Daarnaast ziet Nigg graag een lijst van Certificate Authorities die in overtreding waren.
En denk nu maar niet dat dit geval op zich zelf staat!
(Al kan ik dat natuurlijk niet hard maken( ;-))
Ik ben benieuwd hoe Mozilla wil die spionagecertificaten wil opsporen.
Deze was toch ook niet zomaar ontdekt?
Het was de uitgever die zenuwachtig werd, toen die zich realiseerde dat wat twee bedrijven weten, geen geheim meer is en toen maar opbiechtte.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
