Microsoft bezorgt beheerders en gebruikers app-problemen met oud Symantec-rootcertificaat
- Digitale ondertekening van apps en beveiligde verbindingen hangt aan rootcertificaten.
- Jaren terug is Symantec herhaaldelijk de fout ingegaan met certificaatverstrekking.
- De daarop volgende ban blijkt nu pas - en stilletjes - doorgevoerd in Windows.
- Lees ook: 'Het is eigenlijk begonnen bij DigiNotar'
Symantec vinkje
Microsoft heeft beheerders en gebruikers problemen met bepaalde apps bezorgd door het stilletjes intrekken van een beveiligingscertificaat. Het gaat om een oud rootcertificaat afkomstig van Symantec, dat jaren terug in de ban is gedaan vanwege onveilige afgifte van certificaten voor bijvoorbeeld internetdomeinen van Google. De onverwachte intrekking door Windows nu is uiteindelijk stilletjes weer teruggedraaid. Maar voor hoe lang?
Vorige week kregen beheerders, gebruikers en ook helpdesks ineens te maken met vreemde foutmeldingen voor sommige apps. Die toepassingen konden niet starten en gebruikt worden, door certificaatfouten. Het gaat om onder meer de financiële apps QuickBooks en AvaTax. Uiteindelijk heeft de CEO van securitybedrijf Airlock Digital de oorzaak van dit probleem weten te identificeren, schrijft Ars Technica.
Keten van vertrouwen
Het was de schuld van Windows. Specifiek: van een niet aangekondigde en stilletjes door Microsoft doorgevoerde verandering in dat besturingsyteem. De IT-leverancier heeft een rootcertificaat (de Verisign Class 3 Public Primary Certification Authority - G5 Root Certificate) ingetrokken. Dat rootcertificaat van Symantec, onder het Verisign-label, was nog aanwezig in Windows. Het intrekken ervan zorgde voor ongeldigheid van andere certificaten in de keten die 'hangt' aan die root.
"Dit specifieke rootcertificaat is verantwoordelijk voor 'chained trust' in een aanzienlijk aantal digitale certificaten dat tussen 2006 en 2018 wereldwijd is afgegeven", schrijft Airlock Digital in een blogpost. Anno 2017 was Symantec met zijn diverse merken voor certificaten de verstrekker van één op de drie SSL-certificaten op het web, schreef PC World toen.
Malafide sites en MitM
Die marktdominantie heeft een flinke knauw gekregen door harde maatregelen van Google nadat ontdekt is dat Symantec herhaaldelijk de fout in was gegaan. Vanaf Verisign- en andere rootcertificaten zijn ten onrechte certificaten afgegeven. Daardoor konden bijvoorbeeld malafide sites zich voordoen als legitieme sites, of konden beveiligde verbindingen met legitieme sites worden onderschept en afgetapt. (Zogeheten Man-in-the-Middle (MitM) aanvallen.) Dit is in 2011 al gebeurd door een gerichte hackaanval op de Nederlandse certificaatautoriteit DigiNotar.
Het is niet bekend waarom Windows nog de Verisign-root bevatte jaren nadat het vertrouwen daarin was opgezegd. Google en zijn veelgebruikte Chrome-browser hadden dit rootcertificaat van Symantec in de ban gedaan. Na de vorige week ontstane problemen met Windows-apps heeft Microsoft het omstreden certificaat weer hersteld.
Van datumgrens naar uit en weer aan
In een verklaring erkent de leverancier dat het rootcertificaat sinds 2019 niet meer wordt vertrouwd, maar dat er in Windows sprake was van een datumgrens. Daardoor werden eerder aangemaakte certificaten, hangend aan die Verisign-root, nog wel vertrouwd. In de augustus-update voor de 'Certificate Trust List' in de Windows is de instelling 'NotBefore' (de ingebakken datumgrens) aangepast naar 'Disable'. Dat is op 24 augustus weer ongedaan gemaakt. Het is niet bekend voor hoe lang dit herstel van het niet-vertrouwde rootcertificaat nog geldt.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee