Deze website maakt gebruik van cookies. Waarom? Klik hier voor ons privacy- en cookiebeleid. Door op akkoord te klikken of door gebruik te blijven maken van deze website geeft u aan akkoord te zijn met het gebruik van cookies.

Akkoord

Mac OS X weigert certificaten te weigeren

Door: Jasper Bakker | 01 september 2011 14:09

Apple

Mac OS X heeft moeite beveiligingscertificaten te weigeren. Door een bug laten Macs toch sites toe met geweigerde certificaten, zoals de valse van het Nederlandse DigiNotar.

Deze fout in het besturingssysteem van Apple is dan ook aan het licht gekomen na de certificaatfraude bij DigiNotar. Bij die certificaatverstrekker is ingebroken waarna de daders eigen certificaten hebben uitgegeven. Een deel van die valse beveiligingskeurmerken is weer ingetrokken, een deel is door browsermakers op eigen zwarte lijsten gezet.

Geen waarschuwingen

Maar Mac-gebruikers die DigiNotar-certificaten, zoals voor DigiD, zelf in de ban willen doen, lopen tegen problemen aan. Handmatig geweigerde certificaten blijken niet of niet geheel op de lokale zwarte lijst te staan. Bezoek aan websites die met niet langer vertrouwde DigiNotar-certificaten zijn beveiligd, zou browserwaarschuwingen moeten opleveren. Maar dat gebeurt niet, meldt PC World.

De oorzaak zit in een andere omgang van OS X met zogeheten Extended Validation-cerfiticaten (EV). Het Mac-besturingssysteem accepteert EV-certificaten, ook als de verstrekker daarvan, zoals DigiNotar, op de zwarte lijst is gezet door de gebruiker zelf. Een niet langer vertrouwde site wordt dan wel gewoon geladen, met zelfs een groene balk in beeld om aan te geven dat het veilig is.

Browserbans

Chrome-maker Google, IE-maker Microsoft en Firefox-maker Mozilla doen de niet langer te vertrouwen DigiNotar-certificaten in de ban - of hebben dat al gedaan. Apple heeft nog niet openlijk gesteld wat voor maatregelen het wil nemen voor zijn browser Safari, die draait op het eigen OS X en op Windows.

Handmatige actie kan dus noodzakelijk zijn, omdat de schaal van de inbraak nog altijd niet duidelijk is. DigiNotar heeft Webwereld al verteld dat er mogelijk nog valse certificaten in omloop zijn. De hackers die in juli zijn binnengedrongen bij het Nederlandse bedrijf, dochter van het Amerikaanse Vasco, hebben naast Google's Gmail ook certificaten voor andere websites en internetdiensten aangemaakt. Volgens experts omvat dat zo'n 200 certificaten, voor onder andere anonimiseringsdienst Tor, blogsite WordPress, Yahoo.com en de addons-site voor Firefox.

Update:

Aangepast dat de browserwaarschuwingen op dit moment niet opduiken voor overheidssites zoals DigiD, omdat die volgens de gehackte certificaatverstrekker DigiNotar zelf en volgens de Nederlandse overheid wel veilig zijn. Het onderzoek hiernaar loopt overigens nog.

0 Reacties op: Mac OS X weigert certificaten te weigeren

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.