Mac-brugere kan ikke fjerne kompromitterede webcertifikater

1. september 2011 kl. 16:00
Mac-brugere kan ikke fjerne kompromitterede webcertifikater
Illustration: iStock.
257 kompromitterede certifikater til SSL-kryptering af websteder er blevet spærret for Firefox, Chrome og Internet Explorer, men Mac-brugerne kan foreløbig kun vente på Apple.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den hollandske certifikatudsteder Diginotar har været udsat for hacking, som har ført til, at mindst 257 SSL-certifikater er blevet spærret af blandt andet Google i Chrome-browseren. Men er man Mac OS X-bruger, er man nødt til at vente på Apple. Det skriver Network World.

Mens Firefox og Internet Explorer ligesom Google har blokeret for certifikater fra Diginotar, så har Apple endnu ikke reageret.

Dermed er brugerne af Apples Safari-browser fortsat i farezonen for eksempelvis et manden-i-midten-angreb ved hjælp af et kompromitteret certifikat. Problemet forstærkes af, at det ikke er muligt for Mac OS X-brugerne selv at afvise certifikaterne.

Ganske vist kan Mac OS X-brugerne fjerne certifikaterne fra Keychain-softwaren, men hvis certifikatet identificerer sig som et af de udvidede Extended Validation-certifikater, så vil Safari fortsat etablere en SSL-forbindelse.

Artiklen fortsætter efter annoncen

Extended Validation-certifikater blev indført for at afhjælpe problemer med, at visse phishing-hjemmesider brugte SSL-forbindelser til at narre brugerne til at tro, at siderne var sikre. Derfor blev EV-certifikaterne skabt, så brugerne kunne få en tydelig visuel identifikation af, at en side var blevet særligt godkendt.

Problemet i Diginotar-sagen er imidlertid, at selskabets eget rodcertifikat formentligt er kompromitteret og derfor kan bruges til at lave falske EV-certifikater.

Ingen kommentarer endnu.  Start debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger