Mac OS X weigert certificaten te weigeren

© CIDimport

Mac OS X weigert certificaten te weigeren

Geplaatst: 1 september 2011 - 10:33

Aangepast: 16 november 2022 - 09:24

Jasper Bakker

Mac OS X heeft moeite beveiligingscertificaten te weigeren. Door een bug laten Macs toch sites toe met geweigerde certificaten, zoals de valse van het Nederlandse DigiNotar.

Deze fout in het besturingssysteem van Apple is dan ook aan het licht gekomen na de certificaatfraude bij DigiNotar. Bij die certificaatverstrekker is ingebroken waarna de daders eigen certificaten hebben uitgegeven. Een deel van die valse beveiligingskeurmerken is weer ingetrokken, een deel is door browsermakers op eigen zwarte lijsten gezet.

Geen waarschuwingen

Maar Mac-gebruikers die DigiNotar-certificaten, zoals voor DigiD, zelf in de ban willen doen, lopen tegen problemen aan. Handmatig geweigerde certificaten blijken niet of niet geheel op de lokale zwarte lijst te staan. Bezoek aan websites die met niet langer vertrouwde DigiNotar-certificaten zijn beveiligd, zou browserwaarschuwingen moeten opleveren. Maar dat gebeurt niet, meldt PC World.

De oorzaak zit in een andere omgang van OS X met zogeheten Extended Validation-cerfiticaten (EV). Het Mac-besturingssysteem accepteert EV-certificaten, ook als de verstrekker daarvan, zoals DigiNotar, op de zwarte lijst is gezet door de gebruiker zelf. Een niet langer vertrouwde site wordt dan wel gewoon geladen, met zelfs een groene balk in beeld om aan te geven dat het veilig is.

Browserbans

Chrome-maker Google, IE-maker Microsoft en Firefox-maker Mozilla doen de niet langer te vertrouwen DigiNotar-certificaten in de ban - of hebben dat al gedaan. Apple heeft nog niet openlijk gesteld wat voor maatregelen het wil nemen voor zijn browser Safari, die draait op het eigen OS X en op Windows.

Handmatige actie kan dus noodzakelijk zijn, omdat de schaal van de inbraak nog altijd niet duidelijk is. DigiNotar heeft Webwereld al verteld dat er mogelijk nog valse certificaten in omloop zijn. De hackers die in juli zijn binnengedrongen bij het Nederlandse bedrijf, dochter van het Amerikaanse Vasco, hebben naast Google's Gmail ook certificaten voor andere websites en internetdiensten aangemaakt. Volgens experts omvat dat zo'n 200 certificaten, voor onder andere anonimiseringsdienst Tor, blogsite WordPress, Yahoo.com en de addons-site voor Firefox.

Update:

Aangepast dat de browserwaarschuwingen op dit moment niet opduiken voor overheidssites zoals DigiD, omdat die volgens de gehackte certificaatverstrekker DigiNotar zelf en volgens de Nederlandse overheid wel veilig zijn. Het onderzoek hiernaar loopt overigens nog.

Deel dit artikel
Voeg toe aan favorieten