Mozilla overweegt om het Superfish-certificaat dat op laptops van Lenovo werd geïnstalleerd op een blacklist te zetten. Dat blijkt uit een discussie op Mozilla's Bugzilla, waar ontwikkelaars problemen en bugs in Mozilla-software bespreken. Door het certificaat op een blacklist te zetten zouden gebruikers certificaatwaarschuwingen die bij het gebruik van het Superfish-certificaat worden getoond niet kunnen negeren.
Via het rootcertificaat dat Superfish op de rootstore van computers installeert, de plek waar alle rootcertificaten zijn opgeslagen, kunnen SSL-verbindingen worden onderschept. Superfish laat namelijk alle SSL-verbindingen via het eigen certificaat lopen. Onderzoekers slaagden erin om het wachtwoord te kraken dat de privésleutel van het Superfish-certificaat gebruikt. Daardoor is het in bepaalde gevallen mogelijk om Man-in-the-Middle-aanvallen tegen systemen uit te voeren waarop Superfish en het certificaat actief zijn.
"Elk certificaat dat door veelgebruikte software aan rootstores wordt toegevoegd en waarvan de privésleutel bekend is, is een risico", zegt Gervase Markham op Bugzilla. Hij merkt op dat het gedrag van installatiesoftware die certificaten al dan niet op computers installeert kan veranderen. Een programma kan de ene week geen verdacht gedrag vertonen en dat een week later wel weer doen. "Zonder uitgebreid onderzoek weten we niet hoe ze precies werken, en in welke gevallen software rootlijsten kan wijzigen en ook welke rootlijsten."
Hoewel Mozilla-medewerkers in eerste instantie nogal huiverig waren om het certificaat op de blacklist te zetten heeft de beslissing van Microsoft om de Superfish-applicatie en het certificaat via Windows Defender en Security Essentials te verwijderen hier verandering in gebracht. "Dit maakt de weg voor ons vrij om het certificaat in te trekken", zegt Mozilla's Richard Barnes. Aangezien Microsoft het certificaat al op veel computers heeft verwijderd zal de impact van een eventuele blacklisting dan ook meevallen. "Het vult alleen de desinfectie aan", gaat Barnes verder. Of en wanneer het certificaat op de blacklist verschijnt is echter nog niet besloten.
Deze posting is gelocked. Reageren is niet meer mogelijk.