Microsoft en Mozilla doen de Maleisische certificaatautoriteit #DigiCert in de ban

Microsoft en Mozilla doen de Maleisische certificaatautoriteit (CA) DigiCert in de ban, nadat bekend werd dat er 22 slechtbeveiligde certificaten zijn uitgegeven.

De Maleisische CA DigiCert Sdn. Bhd. heeft onlangs 22 zwakke certificaten uitgegeven, waardoor het bedrijf nu in de ban wordt gedaan door Microsoft en Mozilla.

Tegen de regels

De melding komt van Entrust, die als rootautoriteit voor het Maleisische bedrijf optreed. De verdachte certificaten hadden een zwakke encryptiesleutel van 512 bits, zonder de gebruikelijke extensies of informatie over het intrekken van de certificaten.

DigiCert heeft inmiddels de 22 certificaten ingetrokken en ook Entrust heeft zijn intermediaire certificaat voor DigiCert ingetrokken.

Voor Mozilla en Microsoft is alleen het intrekken van de brakke certificaten niet afdoende: beide softwareconcerns zullen álle certificaten van DigiCert in de ban doen.
Hele CA in de ban

Alhoewel er nog geen bewijs is dat de ondeugdelijke certificaten zijn misbruikt, waarschuwt Mozilla ervoor dat ze eenvoudig kunnen worden gebruikt voor criminele doeleinden, door het vervalsen van een legitieme site.

Doordat de het Maleisische bedrijf met de uitgifte van deze slechte certificaten duidelijk de regels en best practices van een CA heeft overtreden, zal ook Microsoft alle certificaten weren, schrijft Jerry Bryant van het Security Response Center van Microsoft.

Het Maleisische bedrijf heeft overigens geen relatie met DigiCert Inc, de bekendere en grotere Amerikaanse CA.

Verwarring

Het gaat dus om www.digicert.com.my uit Maleisie en niet www.digicert.com
Het bedrijf DigiCert.com is inderhaast al een Google Ads campagne gestart.

DigiNotar debacle

De ferme reactie van browsermakers is mede ingegeven door het DigiNotar debacle. Toen bleven veel DigiNotar certificaten vertrouwd op basis van informatie die het bedrijf zelf had doorgegeven aan de Nederlandse overheid.

Er zouden slechts enkele DigiNotar certificaten zijn gecompromitteerd, de rest was veilig, bezweerde het Beverwijkse bedrijf in eerste instantie.

Maar uit onderzoek van Fox-IT bleek dat de volledige infrastructuur was gehackt en geen enkel certificaat meer was te vertrouwen. Drie weken later werd DigiNotar failliet verklaard.

Meer over SSL:  www.antimalwarescan.nl/ssl