De manier waarop browsers zoals Internet Explorer, Mozilla Firefox en Safari SSL-certificaten controleren werkt niet, aldus Google-ingenieur Adam Langley. Langley reageerde naar aanleiding van adviezen die vanwege de Heartbleed-bug in OpenSSL werden gegeven.
Vanwege de Heartbleed-bug kunnen aanvallers de privésleutel van SSL-certificaten stelen. Veel websites besloten hierop hun SSL-certificaat opnieuw uit te geven of in z'n geheel te vervangen en het oude certificaat in te laten trekken. SSL-certificaten spelen een belangrijke rol op internet, omdat ze de verbinding tussen bezoeker en website versleutelen en gebruikers de identiteit van de website laten controleren.
Internetbrowsers kunnen ingetrokken SSL-certificaten herkennen dankzij het Online Certificate Status Protocol (OCSP). Als OCSP niet werkt kunnen browsers terugvallen op de certificate revocation list (CRL), een lijst met ingetrokken SSL-certificaten. Google Chrome gebruikt geen van beide methodes en dat kwam de browser op kritiek van internetbedrijf Netcraft te staan. Chrome-gebruikers werden vervolgens opgeroepen om de optie 'Controleren op intrekking van servercertificaten' in te schakelen, maar Langley waarschuwt nu dat gebruikers dit niet moeten doen.
De manier waarop Google namelijk op ingetrokken SSL-certificaten controleert zou namelijk veel beter zijn. Chrome gebruikt een eigen mechanisme genaamd CRLSets, een verzamelde lijst van ingetrokken certificaten die door Google wordt samengesteld en via updates naar de browser wordt gestuurd. Aanvallers die zich tussen de gebruiker en het internet bevinden kunnen namelijk de OCSP-verzoeken van de browser blokkeren, waardoor een gebruiker niet doorkrijgt dat een certificaat is ingetrokken.
"Daarom stel ik dat online controles op ingetrokken certificaten zinloos zijn, omdat het aanvallen niet voorkomt", laat Langley weten. Het enige dat deze controles volgens de ingenieur doen is dingen vertragen. "Je kunt vertellen wanneer iets securitytheater is omdat je in een absurd specifieke situatie moet zitten voordat het zinnig is." Chrome voert deze "zinloze controles" dan ook niet uit.
Dagelijks stelt Google lijsten van belangrijke ingetrokken certificaten samen die via de automatische update functie naar Chrome-gebruikers worden gestuurd. Het is vooral bedoeld om op belangrijke situaties te reageren, zoals met DigiNotar het geval was. "Het is zeker niet perfect, maar beter dan wat andere browsers doen", merkt Langley op.
Hij stelt dat een aanvaller kan voorkomen dat een gebruiker Chrome-updates ontvangt, maar dan zou die het verkeer van die gebruiker gedurende een lange tijd moeten blokkeren. "Maar dat is een fundamentele grens, we kunnen alleen op Chrome-problemen reageren, waaronder beveiligingslekken, door updates uit te geven."
Deze posting is gelocked. Reageren is niet meer mogelijk.