Een Turkse verstrekker van SSL-certificaten heeft een frauduleus certificaat voor Google.com uitgegeven dat actief bij het aanvallen van internetgebruikers is ingezet, aldus Microsoft. Google waarschuwde vandaag dat Chrome op 24 december ongautoriseerde certificaten voor het '*.google.com' domein ontdekte en blokkeerde. Verder onderzoek wees uit dat de certificaten door de Turkse certificaatverstrekker Turktrust waren verstrekt.
SSL-certificaten worden gebruikt voor het versleutelen van verkeer tussen websites en bezoekers en geven bezoekers de mogelijkheid om de identiteit van de website te valideren. Met valste certificaten is het mogelijk om versleuteld verkeer te onderscheppen. Hiervoor moet een aanvaller wel in een positie zijn om zich tussen het slachtoffer en de bezochte website te begeven.
Turktrust is een intermediate certificate authority (CA), dat als een soort tussenpersoon SSL-certificaten mag uitgeven. Intermediate CA certificaten hebben echter de zelfde autoriteit als de Certificate Authority waar de intermediate-partij onder valt. Het is dan ook mogelijk om voor alle websites certificaten te genereren die een aanvaller zou willen immiteren.
Ongeluk
Het valse certificaat voor Google zou al in augustus 2011 zijn gemaakt. Volgens Turktrust waren de twee intermediate CA-certificaten per ongeluk aan organisaties verstrekt, die eigenlijk gewone SSL-certificaten hadden moeten ontvangen. Microsoft laat weten dat de frauduleus gegenereerde certificaten voor echte aanvallen zijn ingezet.
Oplossing
Zowel Microsoft als Google hebben de valse certificaten inmiddels ingetrokken. Gebruikers van Windows Vista en nieuwer, die de Certificate Trust List feature van juni hebben geinstalleerd, hoeven hier niets voor te doen. Voor Windows XP en Server 2003 en Windows-gebruikers die de Certificate Trust List feature niet hebben geïnstalleerd, is een update verschenen.
Deze update wordt automatisch aangeboden en Microsoft adviseert gebruikers die meteen te installeren.
In het geval van Google Chrome zijn de valse certificaten al sinds 26 december geblokkeerd. Mozilla zal op 8 januari voor Firefox een update uitbrengen die de ondersteuning van de twee valse certificaten intrekt.
Hack
Hoewel de certificaten voor echte aanvallen zijn ingezet, is het onduidelijk of Turktrust gehackkt is, of dat het om een ongeluk ging. Dennis Fisher van Kaspersky Lab merkt op dat het waarschijnlijk om een fout gaat aan de kant van de SSL-verstrekker en er geen sprake van een hack is.
Deze posting is gelocked. Reageren is niet meer mogelijk.