image

Microsoft bestrijdt valse SSL-certificaten via surfgedrag

dinsdag 11 maart 2014, 10:35 door Redactie, 6 reacties

Microsoft heeft een nieuwe manier aangekondigd om valse SSL-certificaten te bestrijden, waarbij het surfgedrag van IE11-gebruikers wordt verzameld en geanalyseerd. SSL-certificaten worden gebruikt voor het identificeren van websites en het versleutelen van de verbinding tussen bezoeker en website.

In het verleden is het verschillende keren voorgekomen dat er valse SSL-certificaten zijn uitgegeven, bijvoorbeeld in het geval van DigiNotar, de inmiddels failliete Beverwijkse Certificate Authority die SSL-certificaten verstrekte. Een aanvaller had het systeem van DigiNotar gehackt en gebruikt voor het uitgeven van SSL-certificaten voor allerlei websites.

Aangezien DigiNotar als legitieme Certificate Authority in de browsers te boek stond, werden de valse SSL-certificaten gewoon geaccepteerd zonder waarschuwing. Door de valse SSL-certificaten te gebruiken zou een aanvaller internetgebruikers kunnen afluisteren. Alleen Google Chrome herkende de ten onrechte uitgegeven certificaten, omdat het certificaat-pinning gebruikt.

Certificate Reputation

Om IE-gebruikers tegen valse SSL-certificaten te beschermen heeft Microsoft een nieuw systeem bedacht genaamd "Certificate Reputation", dat het surfgedrag van IE11-gebruikers gebruikt om afwijkingen te detecteren. Zodra gebruikers met IE11 aan het surfen zijn, en SmartScreen hebben ingeschakeld, stuurt de browser informatie over de SSL-certificaten die gebruikers tegenkomen terug naar Microsoft.

Als er een nieuw SSL-certificaat wordt ontdekt dat door een andere Certificate Authority is uitgegeven dan de website normaal gebruikt, krijgt Microsoft een signaal. Vervolgens kan de softwaregigant de eigenaar van de website inlichten, zodat die het SSL-certificaat kan laten intrekken of bevestigen dat het legitiem is. In de toekomst wil Microsoft de verzamelde gegevens ook gaan gebruiken om te bepalen of Certificate Authorities zich wel aan industrierichtlijnen voor SSL-certificaten houden.

Reacties (6)
11-03-2014, 10:49 door Anoniem
Ja, ja analyseren van surfgedrag van IE11 gebruikers. Wat is er mis met die mensen die denken dat ze zomaar alle gegevens mogen gebruiken hoe ze dat goeddunkt.

Microsoft == geen privacy
11-03-2014, 12:06 door [Account Verwijderd]
[Verwijderd]
11-03-2014, 12:16 door Anoniem
Dit idee is niet nieuw, er is bijvoorbeeld een Firefox addon genaamd Perspectives die ongeveer hetzelfde doet. Het is sowieso raarr dat elke zgn. Certificate Authority zomaar certificaten voor elk domein kan ondertekenen. Bij Google weten ze dat ook dus kijkt hun Chrome browser even tussendoor of Google sites wel een certificaat hebben dat ze verwachten. Zo is het Diginotar schandaal toen aan het licht gekomen, Iraanse activisten die Chrome gebruikten kregen waarschuwingen.
11-03-2014, 15:26 door Anoniem
Door Hyper: De proxy server van mijn werkgever spuugt een en al vervalste SSL certificaten uit. Jammer dat MS dit nog mogelijk maakt.

jouw werkgever doet aan man in the middle-praktijken ofzo?
11-03-2014, 17:53 door Anoniem
"Microsoft heeft een nieuwe manier aangekondigd om valse SSL-certificaten te bestrijden, waarbij het surfgedrag van IE11-gebruikers wordt verzameld en geanalyseerd."

Nou lekker dan. Gelukkig gebruik ik al jaren geen IE meer buiten de updates dan.
12-03-2014, 10:15 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.