Google heeft laten weten dat het in zijn browser Chrome de zogeheten ssl-certificaten van de Chinese overheid gaat blokkeren. Zo is vorige week aan het licht gekomen dat een vals certificaat van CNNIC, de certificaatautoriteit van de Chinese overheid, uitgegeven was door het Egyptische bedrijf MCS Holdings. Het zijn deze ssl-certificaten die gebruikt worden om aan te geven of een verbinding veilig is.
Wanneer een vertrouwde autoriteit MCS Holdings een vals certificaat uitgeeft, zal dit niet direct aan licht komen. Alle browsers vertrouwen het certificaat in principe, terwijl er met zo’n valse certificaat een beveiligde verbinding zo afgetapt kan worden door kwaadwillende.
Het is dan bijvoorbeeld mogelijk een malafide website die eruit ziet als de site van een bank te voorzien van een veilig certificaat. Klanten zijn dan geneigd hun inloggegevens in te vullen omdat de verbinding beveilig lijkt, maar die gegevens kunnen direct worden afgetapt.
Gevolgen
Op dit moment blokkeert Google alle CNNIC-certificaten in de browser Chrome, die wereldwijd een marktaandeel heeft van zo’n 50 procent. Zo geeft het CNNIC niet alleen certificaten uit voor de Chinese overheid, maar ook voor sommige commerciële partijen. Al deze website worden niet meer door Google vertrouwt en Chrome-gebruikers ontvangen een melding dat de verbinding mogelijk onveilig is.
Google blokkeert Chinese beveiligingscertificaten na lek
Geen opmerkingen:
Een reactie posten