Microsoft heeft een nieuwe manier aangekondigd om valse SSL-certificaten te bestrijden, waarbij het surfgedrag van IE11-gebruikers wordt verzameld en geanalyseerd. SSL-certificaten worden gebruikt voor het identificeren van websites en het versleutelen van de verbinding tussen bezoeker en website.
In het verleden is het verschillende keren voorgekomen dat er valse SSL-certificaten zijn uitgegeven, bijvoorbeeld in het geval van DigiNotar, de inmiddels failliete Beverwijkse Certificate Authority die SSL-certificaten verstrekte. Een aanvaller had het systeem van DigiNotar gehackt en gebruikt voor het uitgeven van SSL-certificaten voor allerlei websites.
Aangezien DigiNotar als legitieme Certificate Authority in de browsers te boek stond, werden de valse SSL-certificaten gewoon geaccepteerd zonder waarschuwing. Door de valse SSL-certificaten te gebruiken zou een aanvaller internetgebruikers kunnen afluisteren. Alleen Google Chrome herkende de ten onrechte uitgegeven certificaten, omdat het certificaat-pinning gebruikt.
Om IE-gebruikers tegen valse SSL-certificaten te beschermen heeft Microsoft een nieuw systeem bedacht genaamd "Certificate Reputation", dat het surfgedrag van IE11-gebruikers gebruikt om afwijkingen te detecteren. Zodra gebruikers met IE11 aan het surfen zijn, en SmartScreen hebben ingeschakeld, stuurt de browser informatie over de SSL-certificaten die gebruikers tegenkomen terug naar Microsoft.
Als er een nieuw SSL-certificaat wordt ontdekt dat door een andere Certificate Authority is uitgegeven dan de website normaal gebruikt, krijgt Microsoft een signaal. Vervolgens kan de softwaregigant de eigenaar van de website inlichten, zodat die het SSL-certificaat kan laten intrekken of bevestigen dat het legitiem is. In de toekomst wil Microsoft de verzamelde gegevens ook gaan gebruiken om te bepalen of Certificate Authorities zich wel aan industrierichtlijnen voor SSL-certificaten houden.
Deze posting is gelocked. Reageren is niet meer mogelijk.