Twee Nederlandse studenten hebben een open source plug-in voor Firefox 4 ontwikkeld waarmee websitebezoekers via een nieuw beveiligingsmechanisme de authenticiteit van websites kunnen controleren. De methode is nodig omdat authenticatie via online certificaten, zoals tot nu toe gebruikelijk, in de praktijk onvoldoende veilig blijkt. Stagairs Danny Groenewegen en Pieter Lange van de Universiteit van Amsterdam ontwikkelden de browser plug-in tijdens een stage bij internetonderzoek-fonds NLnet.
Het authenticeren van websites is nodig, omdat kwaadwillenden websites anders kunnen kapen: door bijvoorbeeld DNS-servers te vervuilen met foutieve IP-adressen kunnen website-bezoekers worden omgeleid naar nepsites. Dat kan verstrekkende gevolgen hebben wanneer het bijvoorbeeld om sites gaat voor online bankieren. Criminelen kunnen via een nepsite dan namelijk op de achtergrond inlognamen en wachtwoorden afvangen.
Beveiligingscertificaat
Nederlandse banken adviseren hun online klanten daarom om tijdens het internetbankieren te controleren of er een slotje op de taakbalk te zien is, ten teken van de aanwezigheid van een geauthenticeerd beveiligingscertificaat. Het probleem is echter dat de aanwezigheid van zo'n slotje al lang geen garantie meer is voor de echtheid van een website. Certificaten zijn namelijk te koop, er bestaat inmiddels een overvloed aan certiferingsinstellingen, en niet elk van die instellingen voert voldoende controles uit bij de afgifte van certificaten.
'Zodra eenmaal een onbetrouwbare certificeringsautoriteit aan een browser is toegevoegd, kan deze stilletjes valide certificaten aanmaken voor elk domein op de planeet. Het is te vergelijken met een bank die geld van je bankrekening afschrijft enkel op basis van een stukje papier met het nummer van je bankrekening en een willekeurige handtekening', legt de Nederlandse directeur Michiel Leenaars van de NLnet uit.
DNSsec
De browser plug-in, die stagairs Danny Groenewegen en Pieter Lange ontwikkelden tijdens een stage aan de Universiteit van Amsterdam, authenticeert websites met behulp van het authenticatie-mechanisme DNSsec. Behalve dat deze methode een hoger niveau van beveiliging biedt, geeft het website-eigenaren bovendien de mogelijkheid om zelf te bepalen welke encryptiemethode ze gebruiken.
Het systeem dat Groenewegen en Lange ontwikkelden herkent valse certificaten door gebruik te maken van de mogelijkheden van DNSsec. Daardoor kunnen websitekapingen voorkomen worden. De open source plug-in voor Firefox 4, voor Linux, Mac OS X of Windows kan worden gedownload. Ook is er een korte uitleg voor webmasters.
Een goede ontwikkeling om juist DNSsec te gaan gebruiken voor de open source plug-in voor Firefox 4. Maar Firefox 4 is nog in het Beta stadium. En de plugin zelf, de Extended DNSSEC Validator, is nog in een Alpha stadium. Bovendien werkt deze plugin niet met Firefox 3.6.13, de huidige productieversie.
Beter nog een paar nachtjes slapen dus.