Vanwege de Heartbleed-bug in OpenSSL zijn de afgelopen week al meer dan 200.000 SSL-certificaten ingetrokken, maar deze tsunami van ongeldige certificaten gaat grotendeels voorbij aan Chrome-gebruikers die door Google in het donker worden gehouden. Dat beweert internetbedrijf Netcraft.
Door de Heartbleed-bug is het mogelijk om de privésleutel van een SSL-certificaat te stelen. Een aanvaller zou hierdoor in bepaalde gevallen in staat kunnen zijn om het versleutelde verkeer tussen bezoekers en de website, waar een SSL-certificaat voor zorgt, te kunnen onderscheppen. Uit voorzorg besloten daarom tal van partijen hun SSL-certificaten opnieuw uit te geven of in z'n geheel te vervangen.
Content delivery network (CDN) CloudFlare besloot bijvoorbeeld deze week alleen al 134.000 certificaten in te trekken die nu niet meer geldig zijn. Internetbrowsers kunnen ingetrokken SSL-certificaten herkennen dankzij het Online Certificate Status Protocol (OCSP). Als OCSP niet werkt kunnen browsers terugvallen op de certificate revocation list (CRL), een lijst met ingetrokken SSL-certificaten.
Google Chrome voert volgens Netcraft zowel geen OCSP-controle uit en downloadt ook geen CRL-lijsten. Chrome gebruikt een eigen mechanisme genaamd CRLSets, een verzamelde lijst van ingetrokken certificaten die door Google wordt samengesteld. De 134.000 door CloudFlare ingetrokken certificaten staan echter nog niet op deze lijst, waardoor gebruikers ook geen waarschuwing krijgen als ze een potentieel gecompromitteerd certificaat krijgen voorgeschoteld, aldus Paul Mutton van Netcraft.
Hij benadrukt dat Chrome-gebruikers de browser zo kunnen instellen dat er wel op ingetrokken certificaten wordt gecontroleerd. Dit kan door via het geavanceerde instellingenmenu een vinkje voor 'Controleren op intrekking van servercertificaten' (Check for server certificate revocation) te zetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.