Bepaalde certificaatverleners op witte lijst
Net als iedere browser heeft Firefox een bepaald aantal certificaatdienstverleners op een "witte lijst" van te vertrouwen bedrijven opgenomen. Dat wil zeggen dat Firefox beveiligde verbindingen met websites zonder waarschuwingen zal accepteren wanneer die website in het bezit is van een geldig certifcaat van een dergelijk, door Mozilla vertrouwde, certificaatdienstverlener.
Wanneer op een website certificaten gebruikt worden van certificaatdienstverleners die niet op deze "witte lijst" staan, zal de browser bij het bezoeken van die website via https een waarschuwing geven. Websitehouders hebben er dus belang bij alleen certificaten te gebruiken afkomstig van door de browser vertrouwde certificaatverleners. Diginotar werd tot voor kort vertrouwd door alle producenten van browsers.
Informatieverzoek Mozilla aan die vertrouwde certificaatverleners
Mozilla heeft op 8 september alle certificaatverleners die op dit moment op die witte lijst staan aangeschreven. Mozilla vraagt de bedrijven om voor 16 september 2011 de volgende acties aantoonbaar te ondernemen of te bevestigen dat deze zullen worden ondernomen:
- Het uitvoeren van een audit met betrekking tot
- de eigen infrastructuur rondom het uitgeven van certificaten;
- een controle op eventuele inbraken of andere lekken.
- Het geven van een overzicht van root-certificaten die kruislings zijn ondertekend met andere root-certificaten;
- Maatregelen nemen zodat alle gebruikersaccounts die certificaten kunnen uitgeven beveiligd zijn met multi-factor authenticatie;
- Automatische blokkeringen voor "high-profile" domeinnamen en duidelijkheid over het beleid omtrent (verder) blokkeren van bepaalde domeinnamen;
- Maatregelen nemen zodat derde-partijen die gebruik maken van het root-certificaat
- ofwel slechts certificaten voor bepaalde domeinnamen kunnen uitgeven,
- ofwel ervoor instaan dat die derde partij juiste procedures hanteert voor het verifieren van de juistheid van een verleend certificaat.
Ad1.
Mozilla verlangt hiermee in feite dat de certificaatdienstverleners instaan voor de juistheid van de tot nu toe door hen uitgegeven certificaten.
Ad 2.
Mozilla vraagt dit vermoedelijk omdat een root-certificaat ondertekend met een gecompromitteerd root-certificaat zelf niet meer te vertrouwen is (beveiliging is zo sterk als de zwakste schakel).
Ad 3.
De term multi-factor authenticatie wil zeggen dat authentificatie geschiedt op basis van twee of meer factoren, dus bijvoorbeeld een wachtwoord en een token en een irisscan. Mozilla wil kennelijk zekerstellen dat bijvoorbeeld een uitgelekt wachtwoord op zichzelf nog niet kan leiden tot uitgifte van valse certificaten.
Ad 4.
Het is voor een hacker in de regel interessanter een grote bekende site te kraken, dan een minder bekende website. Mozilla verlangt nu dat er standaard een blokkering wordt geplaatst op uitgifte van certificaten op die populaire domeinnamen. Het is daarmee minder waarschijnlijk dat er valse certificaten voor die populaire websites in omloop komen, zodat grootschalig misbruik van certificaten ook minder waarschijnlijk wordt.
Ad 5.
Mozilla verlangt hiermee in feite dat de certificaatdienstverleners instaan voor bedrijven die van haar infrastructuur gebruik maken.
Vermoedelijk uitsluiting van certificaatverleners die niet voldoen
Het ligt in de lijn der verwachting dat certificaatverleners die niet, of volgens Mozilla niet naar behoren, antwoord geven op de gestelde vragen door Mozilla van de genoemde "witte lijst" verwijderd zullen worden. Mozilla wijst er ook uitdrukkelijk op dat zij zich het recht voorbehoudt geheel autonoom te besluiten welke dienstverlener er (in de toekomst) wel en niet door haar vertrouwd wordt of zal worden.
Mozilla trekt verantwoordelijkheid naar zich toe
Mozilla toont met dit initiatief daadkracht in een poging het vertrouwen van de internetgebruiken in het systeem van beveiligingscertificaten terug te winnen. Het achterliggende idee lijkt te zijn dat wie op Internet software van Mozilla gebruikt, er op mag vertrouwen dat verbindingen die beveiligd ogen ook daadwerkelijk beveiligd zijn. Dat is in het belang van de gebruiker van die software en daarmee ook in het belang van Mozilla (nu haar software vermoedelijk populairder wordt).
Mozilla trekt hiermee in feite verantwoordelijkheid naar zich toe. Zij kan deze actie immers naar buiten toe "verkopen" als een soort van "garantie" op haar producten. Overigens is het risico daarvan voor Mozilla maar betrekkelijk, nu in de licentievoorwaarden van Firefox staat dat Mozilla geen enkele aansprakelijkheid aanvaardt voor schade die zich door het gebruik van de software kan voordoen.
Goed initiatief, dat wel in de gaten gehouden zal moeten worden
Ik juich dit initiatief van Mozilla toe, zeker op dit moment en bij de huidige stand van zaken. In plaats van te wachten op acties van alle verschillende overheden wereldwijd, hetgeen in de regel lang duurt, onderneemt Mozilla direct en op wereldwijde schaal actie.
Wel is het zaak dit initiatief goed in de gaten te houden. Het is immers wel de vraag hoe Mozilla in de praktijk om zal springen met de gegevens die zij naar aanleiding van dit initiatief van certificaatverleners ontvangt. Zijn bedrijfsgeheimen van de certificaatverleners wel goed gewaarborgd?
Ook zal vermoedelijk kritisch worden gevolgd welke conclusies Mozilla aan de ontvangen gegevens verbindt. Een eventueel besluit van Mozilla om een bepaalde certificaatverlener niet langer te vertrouwen zal immers schade voor die dienstverlener met zich meebrengen. Er zal ongetwijfeld getracht worden die schade op Mozilla te verhalen.
Verder roept het de vraag op welke domeinnamen nu precies te beschouwen zijn als "high-profile" domeinnamen en wie de betreffende lijst beheerst. Kunnen bedrijven straks bij Mozilla aankloppen om ook op die lijst geplaatst te worden, in een poging de kans op misbruik verder te verminderen? Kan het doen van een dergelijk verzoek aan Mozilla wellicht zelfs van bedrijven worden verwacht? En in hoeverre krijgen andere producenten van browsers toegang tot die lijst?
De komende tijd zal ongetwijfeld meer duidelijkheid over dit initiatief ontstaan. We houden u op de hoogte.
