image

Mozilla wapent Firefox tegen valse SSL-certificaten

woensdag 31 juli 2013, 13:57 door Redactie, 0 reacties

Een nieuwe testversie van Mozilla Firefox moet voorkomen dat gebruikers het slachtoffer van frauduleuze SSL-certificaten worden, waardoor hun dataverkeer kan worden afgeluisterd. Websites gebruiken voor het versleutelen van verkeer tussen de gebruiker en server en het aantonen van de identiteit SSL-certificaten. Het kan voorkomen dat een certificaat moet worden ingetrokken.

Bijvoorbeeld als de Certificate Authority (CA), de partij die het certificaat uitgeeft, het van verkeerde gegevens heeft voorzien, of als de eigenaar zijn privésleutel heeft verloren of die gestolen is. In deze gevallen moet het uitgegeven certificaat worden ingetrokken. Hiervoor is het Online Certificate Status Protocol (OCSP) ontwikkeld.

Zodra de browser een website bezoekt en een SSL-certificaat krijgt aangeboden, wordt de CA gevraagd of er problemen met het certificaat zijn. Als dit niet het geval is, laat de CA weten dat het certificaat nog steeds geldig is. Is het certificaat ingetrokken, dan wordt de browser op dezelfde manier ingelicht.

Het probleem met OCSP is dat het nieuwe HTTPS-verbindingen vertraagt. Daarnaast komt de CA te weten welke websites de gebruiker bezoekt, wat vanuit een privacystandpunt onwenselijk is.

Problemen
Een ander punt is dat als de browser de CA niet kan bereiken, het uit twee opties moet kiezen. Of het kan de HTTPS-verbinding verbreken, ervan uitgaande dat er iets mis is, of het kan de HTTPS-verbinding toestaan. Het eerste geval vermindert het gebruiksgemak, terwijl het tweede geval de hele controle ondermijnt.

Standaard staat Firefox toe dat de verbinding toch doorgang vindt. Dit kan echter via about:config in de adresbalk en door de optie 'security.OCSP.require' op True te zetten, worden aangepast. Dan zal de browser de verbinding verbreken.

OCSP stapling
Om gebruikers te beschermen is er aan een vroege testversie van Firefox 'OCSP stapling' toegevoegd. Hierbij vraagt de website aan de CA of er niets mis is met het certificaat en wordt die bevestiging bij het opzetten van een nieuwe HTTPS-verbinding meegegeven. De browser gebruikt deze bevestiging om te bepalen of de website nog steeds te vertrouwen is.

In het geval de website te vertrouwen is, wordt de verbinding opgezet. Anders zal de browser die verbreken. In het geval Firefox geen 'stapled response' ontvangt, zal het de normale OCSP-procedure volgen. Dit betekent dat OCSP stapling tegen fouten en basale aanvallen beschermt, maar geen aanvallen voorkomt waarbij de aanvaller het volledige netwerk in handen heeft.

Daarvoor wordt een nieuw voorstel ontwikkeld, genaamd 'OCSP-must-staple'. Hierbij moet elke verbinding over een OCSP response beschikken, maar dit voorstel is nog in ontwikkeling. Gebruikers die OCSP stapling willen proberen kunnen de nieuwste Firefox Nightly downloaden.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.