AMSTERDAM - Een Turkse certificaatdienstverlener blijkt in december een tijd valse certificaten te hebben uitgegeven. Inmiddels hebben Google, Mozilla en Microsoft actie ondernomen.
Google meldt op 24 december te hebben ontdekt dat valse certificaten van het internetbedrijf werden goedgekeurd door Turktrust. Hierdoor leek het voor gebruikers alsof er een vertrouwde verbinding was met Google, terwijl dat niet het geval was.
Het eerst certificaat dat Google ontdekte bleek al in augustus 2011 te zijn gemaakt. Het duurde echter tot december 2012 tot het voor het eerst richting computergebruikers werd misbruikt. De dag na de ontdekking heeft Google het certificaat voor de Chrome-browser geblokkeerd.
Op 26 december werd geconstateerd dat een tweede nepcertificaat in omloop was. Ook dit certificaat is geblokkeerd in de webbrowser. Later deze maand zal Google een update sturen om bepaalde certificaten van Turktrust niet meer te vertrouwen.
Update
Ook Microsoft heeft inmiddels de lijst met vertrouwde certificaten van een update voorzien. Mozilla, de maker van de Firefox-webbrowser, heeft het vertrouwen in de twee valse certificaten eveneens opgezegd.Gebruikers van Windows 8, Windows Phone 8 en Windows Server 2012 krijgen de updates automatisch, terwijl andere gebruikers de updates zullen moeten ophalen.
Turktrust
Het bedrijf Turktrust is een soort onderaannemer om vertrouwde certificaten uit te geven. Daardoor kunnen ze een website met een versleutelde verbinding als echt waarmerken.Microsoft stelt dat het bedrijf zegt dat er abusievelijk twee autoriteiten zijn aangemaakt waar de nepcertificaten zijn verstrekt. Volgens Google is dit een zeer ernstig beveiligingsincident.
Diginotar
Het incident heeft gelijkenis met Diginotar, omdat het nepcertificaat dat in het oog sprong bij Diginotar *.google.com waarmerkt. Precies dat is ook het geval bij Turktrust. Dat Google het heeft ontdekt via browserverkeer betekent dat er kennelijk daadwerkelijk misbruik van het certificaat is gemaakt.Als een gebruiker met een nepcertificaat naar een site gaat, is het mogelijk om internetcriminaliteit te plegen. In het geval van Diginotar ging het om de Iraanse overheid die in staat was het versleuteld verkeer naar Iran op te vangen.
Op de website van Turktrust is geen melding van het incident te vinden. Volgens Google zijn andere certificaten van Turktrust nog wel te vertrouwen.
Bron: Nu.nl
Geen opmerkingen:
Een reactie posten