Mac-brugere kan ikke fjerne kompromitterede webcertifikater

Den hollandske certifikatudsteder Diginotar har været udsat for hacking, som har ført til, at mindst 257 SSL-certifikater er blevet spærret af blandt andet Google i Chrome-browseren. Men er man Mac OS X-bruger, er man nødt til at vente på Apple. Det skriver Network World.

Mens Firefox og Internet Explorer ligesom Google har blokeret for certifikater fra Diginotar, så har Apple endnu ikke reageret.

Dermed er brugerne af Apples Safari-browser fortsat i farezonen for eksempelvis et manden-i-midten-angreb ved hjælp af et kompromitteret certifikat. Problemet forstærkes af, at det ikke er muligt for Mac OS X-brugerne selv at afvise certifikaterne.

Ganske vist kan Mac OS X-brugerne fjerne certifikaterne fra Keychain-softwaren, men hvis certifikatet identificerer sig som et af de udvidede Extended Validation-certifikater, så vil Safari fortsat etablere en SSL-forbindelse.

Extended Validation-certifikater blev indført for at afhjælpe problemer med, at visse phishing-hjemmesider brugte SSL-forbindelser til at narre brugerne til at tro, at siderne var sikre. Derfor blev EV-certifikaterne skabt, så brugerne kunne få en tydelig visuel identifikation af, at en side var blevet særligt godkendt.

Problemet i Diginotar-sagen er imidlertid, at selskabets eget rodcertifikat formentligt er kompromitteret og derfor kan bruges til at lave falske EV-certifikater.