Valse certificaten halen beveiliging Google en mogelijke anderen onderuit
De veiligheid van verschillende Google-diensten en mogelijk van andere aanbieders ligt onder vuur. Google meldt dat valse digitale certificaten in omloop zijn. Daarmee zegt de https-aanduiding en het slotje links bovenin, niets meer over of er ook wel echt een veilige verbinding met de Google-server is.
De valse certificaten zijn uitgegeven door een intermediair MCS Holding in Egypte die de digitale documenten betrok van de Chinese certificaatautoriteit CNNIC. Google meldde het probleem gisteren in een blog, signaleerde Ars Technica. Welke Google-diensten risico lopen, heeft Google niet bekend gemaakt.
Google zegt in de blog dat het probleem grote gevolgen kan hebben: CNNIC is onderdeel van alle belangrijke 'root stores'. De misbruikte certificaten worden daardoor door vrijwel alle browsers en besturingssystemen vertrouwd. Alleen de Chrome-browser op Windows, OS X. Linux en ChromeOS en Firefox versie 33 en hoger zullen de certificaten weigeren vanwege de extra beveiligingscheck genaamd public key pinning. Google sluit niet uit dat ook valse certificaten van andere webbedrijven in omloop zijn.
Google heeft direct de bekende valse certificaten van MCS Holding geblokkeerd in Chrome en contact opgenomen met de belangrijke browserproducenten.
Cruciale fouten gemaakt
De zaak wordt hoog opgenomen. Hoewel het er op lijkt dat cruciale fouten zijn gemaakt bij MCS Holding in het beheer van de private keys, gaat CNNIC niet vrijuit, zegt Google. Het Chinese bedrijf heeft een intermediair in vertrouwen genomen die niet in staat is op de juiste wijze met de verantwoordelijkheid om te gaan.
Google zegt in de blog dat Chrome-gebruikers zich geen zorgen hoeven te maken. Door de acties die het bedrijf heeft genomen zijn de certificaten in deze browser niet meer geldig. Er zijn volgens Google geen aanwijzingen dat er misbruik is gemaakt van de valse certificaten.
Het is niet de eerste keer dat valse certificaten in omloop komen. In 2013 kwam een vergelijkbaar probleem als met MCS Holding naar voren bij het Franse ANSSI. In 2011 kwam de Nederlandse certificaatuitgever DigiNotar onder vuur. Daarbij bleken Iraanse hackers een lek in de beveiliging van het bedrijf te gebruiken voor het uitgeven van valse certificaten.
De digitale certificaten vormen de basis van de beveiliging van verbindingen op internet.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee