Nieuws Security

24 maart 2015 leestijd 2 minuten 0 reacties

Valse certificaten halen beveiliging Google en mogelijke anderen onderuit

De veiligheid van verschillende Google-diensten en mogelijk van andere aanbieders ligt onder vuur. Google meldt dat valse digitale certificaten in omloop zijn. Daarmee zegt de https-aanduiding en het slotje links bovenin, niets meer over of er ook wel echt een veilige verbinding met de Google-server is.

Redactie AG ConnectMeer van deze auteur

De valse certificaten zijn uitgegeven door een intermediair MCS Holding in Egypte die de digitale documenten betrok van de Chinese certificaatautoriteit CNNIC. Google meldde het probleem gisteren in een blog, signaleerde Ars Technica. Welke Google-diensten risico lopen, heeft Google niet bekend gemaakt.

Google zegt in de blog dat het probleem grote gevolgen kan hebben: CNNIC is onderdeel van alle belangrijke 'root stores'. De misbruikte certificaten worden daardoor door vrijwel alle browsers en besturingssystemen vertrouwd. Alleen de Chrome-browser op Windows, OS X. Linux en ChromeOS en Firefox versie 33 en hoger zullen de certificaten weigeren vanwege de extra beveiligingscheck genaamd public key pinning. Google sluit niet uit dat ook valse certificaten van andere webbedrijven in omloop zijn.

Google heeft direct de bekende valse certificaten van MCS Holding geblokkeerd in Chrome en contact opgenomen met de belangrijke browserproducenten.

Cruciale fouten gemaakt

De zaak wordt hoog opgenomen. Hoewel het er op lijkt dat cruciale fouten zijn gemaakt bij MCS Holding in het beheer van de private keys, gaat CNNIC niet vrijuit, zegt Google. Het Chinese bedrijf heeft een intermediair in vertrouwen genomen die niet in staat is op de juiste wijze met de verantwoordelijkheid om te gaan.

Google zegt in de blog dat Chrome-gebruikers zich geen zorgen hoeven te maken. Door de acties die het bedrijf heeft genomen zijn de certificaten in deze browser niet meer geldig. Er zijn volgens Google geen aanwijzingen dat er misbruik is gemaakt van de valse certificaten.

Het is niet de eerste keer dat valse certificaten in omloop komen. In 2013 kwam een vergelijkbaar probleem als met MCS Holding naar voren bij het Franse ANSSI. In 2011 kwam de Nederlandse certificaatuitgever DigiNotar onder vuur. Daarbij bleken Iraanse hackers een lek in de beveiliging van het bedrijf te gebruiken voor het uitgeven van valse certificaten.

De digitale certificaten vormen de basis van de beveiliging van verbindingen op internet.

AI-geïntegreerde applicaties: de nieuwe standaard in softwareontwikkeling

AI is geen toekomstmuziek meer. Ontdek hoe AI-applicaties softwareontwikkeling vandaag al ingrijpend veranderen.

2 min

Rubriek Soevereine Cloud Partner

Tech in 2 minuten: Wat is de Soevereine Cloud?

Ontdek hoe deze oplossing volledige controle over data biedt binnen Nederlandse grenzen en voldoet aan strenge privacywetgeving.

2 min

Achtergrond Klanttevredenheid Partner

Doen wat je belooft, hét uitgangspunt voor klanttevredenheid

Hoe versterk je klantrelaties, waarborg je klanttevredenheid en voer je succesvolle projecten uit?

1 min

Meer whitepapers

Whitepaper Marketing Partner

High impact business stories creëren

De route naar de zakelijke beslisser.

Whitepaper Artificial Intelligence Partner

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Development Partner

Softwareontwikkeling in de cloud

Dit e-book gaat in op vijf praktische richtlijnen voor het succesvol ontwikkelen van software in de cloud. Elk hoofdstuk bevat concrete tips en handvatten voor het inrichten van je cloud.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee