Google, Microsoft blokkeren valse certificaten

Certificatenuitgever Turktrust heeft enkele valse certificaten uitgegeven, zo meldt Google. Onder meer een certificaat voor het domein google.com blijkt vals. Google heeft stappen genomen.


Google heeft op Kerstavond een vals certificaat ontdekt voor zijn google.com-domein en die de dag erop geblokkeerd in Chrome. Google heeft direct andere browsermakers gewaarschuwd. Microsoft en Mozilla hebben het certificaat eveneens geblokkeerd in Internet Explorer en Firefox.

Turktrust geeft 'per ongeluk' CA's weg

Het certificaat is uitgegeven door een tussenpersoon, een intermediate CA (Certifcate Authority) en is te herleiden naar de Turkse CA Turktrust. Dat heeft een eigen onderzoek uitgevoerd en meldt nu dat het in augustus 2011 per ongeluk twee intermediate CA's heeft uitgegeven aan organisaties die in plaats daarvan een standaard SSL-certificaat hadden moeten hebben. Google heeft naar aanleiding van die melding onmiddellijk het betreffende tweede valse certificaat in Chrome geblokkeerd.

Met een intermediate CA kunnen organisaties zelf certificaten aanmaken en daarmee een beveiligde verbinding nabootsen met een website. Een intermediate CA kan een dergelijk certificaat aanmaken voor elke website die men wenst na te doen.

Google bant Turktrust geheel

Google meldt dat het met de blokkade in Chrome een directe actie heeft ondernomen om gebruikers te beschermen, maar dat het nu verdere stappen onderneemt. "Gezien de ernst van de situatie zullen we Chrome opnieuw updaten in januari zodat niet langer certificaten van Turkstrust worden geïndexeerd met de status van Extended Validation", schrijft Adam Langley van Google in een blogpost.

Google zegt verder in een reactie tegen de IDG News Service, de nieuwsdienst van de uitgever van Webwereld, dat naar nu blijkt slechts een van de twee intermediate CA's is gebruikt om een ongeautoriseerd certificaat aan te maken. "We zien vooralsnog dat er een geval is geweest waarbij het bewuste certificaat intern is gebruikt op een bedrijfsnetwerk." Vooralsnog is er geen aanleiding te denken aan een inbraak als in Nederland is gebeurd bij CA-uitgever DigiNotar.

Volgens Microsoft 'actieve aanvallen'

Wel zijn er aanwijzingen dat er misbruik is gemaakt van het certificaat, zeggen beveiligingsbedrijf Sophos en browseruitgever Microsoft. "Wat er is gebeurd is dat de CA in Turkije de sleutels die toegang bieden tot een ieders webbrowser heeft overhandigd aan een willekeurig bedrijf en naar nu blijkt is dat later misbruikt", zegt Chster Wisniewski van Sophos.

Microsoft zegt in een waarschuwingsbericht dat er "actieve aanvallen" zijn met het valse certificaat. "Dit certificaat kan worden gebruikt door content te spoofen, phishing-aanvallen uit te voeren of man-in-te-middle-aanvallen te doen", schrijft Microsoft. Het valse certificaat *.google.com is aangemaakt via de intermediate CA *.EGO.GOV.TR, zegt Microsoft verder, Het bedrijf heeft de Certificate Trust List geüpdatet en alle Windows-versies voorzien van een update dat de betreffende certificaten als onbetrouwbaar aanmerken. Die update kan direct worden gedownload via Windows Update.

Mozilla weigert nieuwe CA's van Turktrust

Ook Mozilla heeft in een blogpost zijn acties tegen de valse certificaten uitgelegd. Daarnaast heeft de maker van Firefox nieuwe aanvragen voor de goedkeuring van nieuwe rootcertificaten van Turkstrust uitgesteld tot nader order. Die waren wel in Firefox 18 beta opgenomen, maar nu weer verwijderd.