image

Mozilla waarschuwt ontwikkelaars voor verkeerd gebruik van root store

dinsdag 11 mei 2021, 10:11 door Redactie, 2 reacties

Mozilla waarschuwt applicatieontwikkelaars voor het verkeerd gebruik van de Mozilla root store, aangezien dit tot een ernstig beveiligingsprobleem binnen applicaties kan leiden. De root store bevat goedgekeurde rootcertificaten die voor serverauthenticatie (TLS) en digitaal gesigneerde en versleutelde e-mail (S/MIME) worden gebruikt.

Firefox controleert bij het opzetten van een beveiligde verbinding met een website via de root store of het door de website aangeboden TLS-certificaat van een vertrouwde certificaatautoriteit afkomstig is. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing.

De root store zit ingebouwd in Firefox en Network Security Services (NSS). De NSS-library is een verzameling libraries die de cross-platformontwikkeling van 'security-enabled' client- en serverapplicaties ondersteunt. NSS is open souce en wordt binnen veel Linux-distributies gebruikt. Naast de Mozilla root store biedt NSS ook de mogelijkheid voor ontwikkelaars om hun eigen root store te gebruiken.

"Applicaties die Mozillas root store voor andere doeleinden gebruiken hebben met een ernstig beveiligingsprobleem te maken", zegt Kathleen Wilson van Mozilla. Sommige applicaties blijken de root stores van Mozilla of het ondergelegen besturingssysteem namelijk voor doeleinden te gebruiken waarvoor ze niet zijn bedoeld. Dit leidt tot een ernstige kwetsbaarheid die te vergelijken is met het niet valideren van aangeboden certificaten.

Zo maken sommige applicatieontwikkelaars gebruik van de root store op een manier waarbij niet-vertrouwde certificaten, zoals die van DigiNotar, toch worden vertrouwd, waarschuwt Wilson. Ze wijst applicatieontwikkelaars dan ook op het belang om root stores op de juiste manier te gebruiken en alleen rootcertificaten toe te staan die voor hun specifieke situatie vereist zijn.

Reacties (2)
11-05-2021, 10:23 door Anoniem
Hier meer over het Diginotar drama:
https://en.wikipedia.org/wiki/DigiNotar

DigiNotar was only one of the available CAs in PKIoverheid, so not all certificates used by the Dutch government under their root were affected. When the Dutch government decided that they had lost their trust in DigiNotar, they took back control over the company's intermediate certificate in order to manage an orderly transition, and they replaced the untrusted certificates with new ones from one of the other providers.

Amateurs!
11-05-2021, 12:06 door Tintin and Milou
Door Anoniem: Hier meer over het Diginotar drama:
https://en.wikipedia.org/wiki/DigiNotar

DigiNotar was only one of the available CAs in PKIoverheid, so not all certificates used by the Dutch government under their root were affected. When the Dutch government decided that they had lost their trust in DigiNotar, they took back control over the company's intermediate certificate in order to manage an orderly transition, and they replaced the untrusted certificates with new ones from one of the other providers.

Amateurs!
En wat bedoel je hiermee?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.