Uit onderzoek is gebleken dat voor verschillende Google-domeinen enige tijd valse beveiligingscertificaten in omloop zijn geweest. Deze SSL-certificaten horen te garanderen dat bij een beveiligde https-verbinding inderdaad met de juiste server contact gemaakt wordt.
Zo werd het valse certificaat uitgegeven door het bedrijf MCS Holdings, wat een bedrijf is van het Chinese CNNIC. Deze certificaten van het bedrijf worden standaard vertrouwd door de meeste browsers en besturingssystemen en veel verschillende apparaten waren kwetsbaar voor misbruik van het certificaat.
MCS bewaarde de privésleutel van zijn certificaten in een proxyserver die pretendeerde de bestemming van beveiligd verkeer te zijn, echter werd de verbinding hierdoor juist onveilig.
Google heeft de certificaten van MCS in Chrome onbruikbaar gemaakt. Ook in de aankomende versie van Firefox wordt het certificaat ongeldig verklaard. Voor zo ver bekend is het beveiligingslek niet misbruikt.
Google waarschuwt voor valse beveiligingscertificaten
Geen opmerkingen:
Een reactie posten