Een vervalst SSL-certificaat afkomstig van DigiNotar uit Nederland wordt misbruikt voor aanvallen op gebruikers van Google. Bezorgdheid hierover werd onder meer gemeld op een supportforum van Google. Het lijkt er op dat de Iraanse overheid achter de vervalsing zit.
Een SSL-certificaat verzekert een gebruiker dat de beveiligde site (of beveiligde pagina's op die site) waar hij of zij contact mee opneemt, ook daadwerkelijk de betrokken site (of pagina's) is. Die certificaten kunnen worden uitgereikt door ‘certificate authorities' (CA's), zoals het Nederlandse Diginotar, en worden aangewend door onder meer browsers bij het tot stand brengen van connecties met beveiligde sites. Daarbij kan het gaan om een veilig pad naar toepassingen als webmail, maar ook e-commerce.
Man in the middle-aanval
Op 10 juli 2011 wisten onbekenden bij Diginotar een vervalst certificaat te creëren voor ‘google.com', waardoor ‘man in the middle'-aanvallen op gebruikers van Google-diensten, zoals Gmail, kunnen worden opgezet. Een man in the middle-aanval is een aanval waarbij informatie tussen twee communicerende partijen onderschept wordt zonder dat beide partijen dat weten. Bezorgdheid hierover werd onder meer gemeld op een Google-supportforum en leidt ertoe dat hierin de hand van de Iraanse overheid wordt gezien. Een gebruiker in Iran merkte evenwel het probleem omdat hij gebruik maakte van een recente versie van Chrome, die een ‘certificate'-waarschuwing gaf.
Ondertussen reageerden bedrijven en softwarebouwers al tegen dit certificaat. Microsoft verwijderde het certificaat al uit de lijst van toegelaten certificaten in zijn browsers, terwijl Google overweegt alle certificaten van Diginotar te blokkeren. Mozilla zou tevens aan updates van onder meer Firefox werken die Diginotar-certificaten niet meer zouden aanvaarden. Er doet tevens al informatie de ronde hoe eindgebruikers dat zelf ook kunnen doen.
Diginotar werd in januari 2011 overgenomen door Vasco Data Security. Dat gaf nog geen verklaring uit over de kwestie met het vervalste certificaat en het verlies aan vertrouwen in Diginotar. Uiteindelijk geeft het bedrijf op woensdagmiddag 30 augustus in een schriftelijke verklaring de problemen toe.
Bezorgdheid
Het vervalste certificaat van Diginotar is overigens al het tweede voorval op dit gebied. Eerder dit jaar zou na de hacking van RSA door de CA Comodo al een aantal vervalste certificaten zijn gecreëerd. Ondertussen zouden die wel al zijn geblokkeerd, maar blijkbaar nam dat wel wat tijd in beslag. Belangenorganisatie Electronic Frontier Foundation (EFF) waarschuwt ervoor dat dit niet de eerste problemen zijn met CA's en dat nieuwe oplossingen zich opdringen.
In samenwerking met Datanews