Google heeft op 3 december een ongeautoriseerd SSL-certificaat ontdekt dat voor verschillende Google-domeinen was uitgegeven en door een organisatie werd gebruikt om versleuteld verkeer van Google-gebruikers te inspecteren, zo laat de zoekgigant weten.
SSL-certificaten worden gebruikt voor het identificeren van websites en het versleutelen van verkeer tussen de bezoeker en de website. Ze worden door Certificate Authorities (CA) uitgegeven. In het geval van de certificaten die Google ontdekte waren die afkomstig van een zogeheten "intermediate Certificate Authority", die aan de Franse CA ANSSI was gekoppeld.
Certificaten die van een intermediate Certificate Authority afkomstig zijn hebben de volledige autoriteit van de CA waar ze onder vallen. "Dus iedereen die er één heeft kan het gebruiken om certificaten aan te maken voor elke website die ze willen imiteren", zegt Adam Langley van het Google Security Team. Na de ontdekking besloot Google de intermediate Certificate Authority in Google Chrome te blokkeren. Vervolgens werden ANSSI en andere browserleveranciers gewaarschuwd.
ANSSI ontdekte dat het certificaat van de intermediate Certificate Authority op een privaat netwerk was gebruikt om het versleutelde verkeer van gebruikers, met hun medeweten, te ontsleutelen, merkt Langley op. Dit is echter in strijd met de procedures van ANSSI die browserontwikkelaars heeft gevraagd om het certificaat in kwestie in te trekken.
Volgens Langley is dit incident een ernstige schending en laat het zien waarom Certificate Transparancy, iets wat Google in 2011 ontwikkelde en sindsdien promoot, zo belangrijk is. Certificate Transparancy is een framework voor het monitoren van SSL-certificaten in real-time. Dit maakt het mogelijk om SSL-certificaten te ontdekken die ten onrechte zijn uitgegeven, of die via een inbraak bij een CA zijn bemachtigd, zoals bij de Beverwijkse CA Diginotar het geval was.
Ook maakt het systeem het mogelijk om CA's te ontdekken die opzettelijk en met kwade bedoelingen certificaten uitgeven. "Aangezien de veiligheid en privacy van onze gebruikers onze prioriteit is, zijn we nog aan het overwegen welke aanvullende acties mogelijk nodig zijn", besluit Langley.
ANSSI, dat certificaten voor Franse overheidssites uitgeeft, stelt in een verklaring dat het om een menselijke fout gaat. Het certificaat, waarmee het mogelijk was om voor elke willekeurige domeinnaam een SSL-certificaat aan te maken, was aan het Franse Ministerie van Financiën uitgegeven en had als doel om de algehele IT-veiligheid van het ministerie te verbeteren. Volgens ANSSI had de fout geen gevolgen voor de veiligheid van zowel de Franse regering als internetgebruikers en zijn er maatregelen genomen om herhaling te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.