Mozilla heeft betalingsverwerker Worldpay toestemming gegeven om voor het verkeer van en naar meer dan 10.000 betaalautomaten in de hele wereld voorlopig zwakke encryptie te blijven gebruiken. De betaalautomaten gebruiken certificaten voor het beveiligen van het verkeer naar de centrale servers.
Het probleem is dat deze certificaten van het sha-1-algoritme gebruikmaken, wat als verouderd en onveilig is bestempeld. Inmiddels hebben browserontwikkelaars en andere partijen ondersteuning van sha-1 uitgefaseerd of zijn hiermee bezig. Ook is het sinds 1 januari van dit jaar niet meer toegestaan om sha-1-certificaten uit te geven. Er zijn echter verschillende betalingsverwerkers die hun betaalautomaten nog altijd niet hebben geüpgraded om certificaten met het sha-2-algoritme te ondersteunen, de opvolger van sha-1. Ook al zijn de deadlines van het oudere algoritme al jaren geleden afgesproken. Het gevolg hiervan is dat veel betaalautomaten alleen met servers kunnen communiceren die van het sha-1-algoritme gebruikmaken.
Worldpay is één van de betalingsverwerkers die van de sha-1-certificaten gebruikmaakt en de overstap naar sha-2 nog niet heeft afgerond. Het bedrijf vergat echter voor 31 december 2015 sha-1-certificaten aan te vragen voor de servers die hier nog gebruik van maken. Worldpay verzocht vervolgens Symantec om negen sha-1-certificaten uit te geven, wat in strijd met het beleid is dat dergelijke certificaten niet meer worden uitgegeven. De certificaten zijn volgens Worldpay nodig voor meer dan 10.000 verouderde betaalautomaten die over de hele wereld worden gebruikt.
Voor het uitgeven van de certificaten heeft Symantec dan ook toestemming nodig van het CA/Browser Forum, een vrijwillig consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties. Het forum, waar ook Mozilla onderdeel van uitmaakt, maakt richtlijnen voor de uitgifte van certificaten. Om verstoringen bij de klanten van Worldpay te voorkomen heeft Mozilla na discussie besloten om de uitgifte van de certificaten toe te staan. Wel zijn hier verschillende voorwaarden aan gesteld, zodat de uitgifte transparant is en alleen als doel heeft om uiteindelijk naar sha-2 te kunnen overstappen.
"De toestemming houdt in dat Symantec sha-1-certificaten kan uitgeven die ervoor zorgen dat de Worldpay-apparaten langer blijven werken, en dat de uitgifte niet door Mozilla als fout zal worden gezien", zegt Mozilla's Richard Barnes. Het gaat in dit geval alleen om het Mozilla-rootprogramma, oftewel alleen certificaten die door Mozilla worden vertrouwd. Andere browserleveranciers zijn ook door Worldpay benaderd, maar kunnen besluiten om de uitgifte van de certificaten mogelijk wel als fout zien.
Deze posting is gelocked. Reageren is niet meer mogelijk.