Vanaf 15 maart worden er meerdere zogenaamde root-certificaat van Symantec (het bedrijf dat bekend is geworden met Norton Utilities en later AntiVirus) niet officieel meer ondersteund, omdat Symantec haar taak niet serieus nam. Symantec heeft het uitgeven van certificaten uitbesteed aan andere partijen en door gebrekkig toezicht op deze partijen heeft het kunnen voorkomen dat er ten onrechte certificaten zijn verstrekt aan derden die geen eigenaren waren van de domeinnaam. Dit wordt beschouwd als een grove schending van vertrouwen, en daarom gaan browsers zoals Chrome en Firefox certificaten van Symantec niet langer meer vertrouwen. Dit heeft uiteindelijk als gevolg dat sites met certificaten van Symantec een melding krijgen dat de sites niet vertrouwd worden.
Het terugtrekken van vertrouwen gaat wel gefaseerd. In eerste instantie wordt er gestart met certificaten uitgegeven voor 1 juni 2016. Halverwege april heeft dit daadwerkelijk effect omdat dan versie 66 van Chrome wordt uitgerold als stabiele versie. Begin mei zal ook Firefox volgen, als hun release plan geldig blijft. Dit houdt in dat er dan een melding komt met ‘onvertrouwde website’. Symantec is ook eigenaar van de merken Thawte, VeriSign, Equifax, GeoTrust, en RapidSSL. Ook deze merken worden als gevolg van dit besluit op dat moment niet meer vertrouwd. In oktober 2018 zullen alle certificaten van Symantec (uitgegeven voor december 2017) als ongeldig worden beschouwd. Certificaten onder de eerder genoemde merknamen uitgegeven na december 2017 zijn uitgegeven door DigiCert, deze zullen wel worden blijven vertrouwd.
Veilige verbindingen zijn gebaseerd op een keten van vertrouwen. Browsers en computers vertrouwen standaard een beperkt aantal zogenaamde ‘root’-certificaten. Deze root certificaten kunnen gebruikt worden om een groen slotje te geven aan een site, iets dat meestal gebeurd met een tussenliggend certificaat: Site A is betrouwbaar omdat deze Certificaat A heeft. Certificaat A is vertrouwd omdat het ondertekend is door Certificaat I en Certificaat I wordt vertrouwd omdat het ondertekend is door een root certificaat (de keten kan complexer en langer zijn). Het is dus zaak dat een beheerder van een root certificaat er alles aan doet dat diens vertrouwen niet wordt geschonden. Dat is bij Symantec gebeurt.
Certificaten mogen alleen worden uitgegeven aan eigenaren van een domeinnaam; certificaten zijn namelijk bedoeld om de zekerheid te bieden aan de bezoeker van een site dat niet alleen de verbinding versleuteld is, maar ook dat ze ook echt de juiste site voorgeschoteld krijgen. Als een derde partij een certificaat kan krijgen waarmee ze kunnen claimen dat ze de eigenaar zijn kan deze derde partij een zogenaamde man-in-the-middle-attack uitvoeren zonder dat de gebruiker het door kan hebben. Het ging bij Symantec weliswaar slechts over sites met in hun naam “test” en “example”, maar desalniettemin wordt het, terecht, beschouwd als een grove nalatigheid. Doordat vervolgens Symantec deze schending van de baseline requirements niet serieus genoeg nam is gekozen voor deze rigoreuze aanpak. Symantec heeft een deel van de afhandeling inmiddels verkocht aan DigiCert en daarom is er geen probleem met certificaten afgegeven na 1 december 2017 van deze merken.
Het is niet de eerste keer dat iets dergelijks gebeurd, maar wel voor de eerste keer bij een partij van deze grootte. Veel grote sites maakten gebruik van de bekende naam van Symantec en diens merken om vertrouwen uit te stralen.
Eigenaren van een Symantec certificaat kunnen veelal gratis een nieuw certificaat aanvragen voor de looptijd van het oude certificaat. Als alternatief kan ook overwogen worden om een geheel nieuwe provider te kiezen voor de certificaten, zoals het relatief nieuwe Let’s Encrypt, al kan deze geen ‘groene balk’ met de organisatienaam leveren en zijn de certificaten slechts van kortlopende duur. Maar je kunt rustig bij de ‘klassieke’ partijen terecht, zelfs certificaten met de naam Symantec zijn weer betrouwbaar, nu ze op de achtergrond verstrekt worden door DigiCert.
Eigenlijk toont dit schandaal aan dat de controlerende functie door externe partijen werkt.
Vond je dit leuk, volg me op Mastodon, voeg die RSS, euh ATOM feed toe aan je feedreader, of schrijf je hieronder in op mijn nieuwsbrief.
Dit artikel van murblog van Maarten Brouwers (murb) is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie .