Mac-brugere kan ikke fjerne kompromitterede webcertifikater

257 kompromitterede certifikater til SSL-kryptering af websteder er blevet spærret for Firefox, Chrome og Internet Explorer, men Mac-brugerne kan foreløbig kun vente på Apple.

Den hollandske certifikatudsteder Diginotar har været udsat for hacking, som har ført til, at mindst 257 SSL-certifikater er blevet spærret af blandt andet Google i Chrome-browseren. Men er man Mac OS X-bruger, er man nødt til at vente på Apple. Det skriver Network World.

Læs også: Hollandsk certifikat-udsteder indrømmer nu hackerangreb efter misbrug af Google-certifikater

Mens Firefox og Internet Explorer ligesom Google har blokeret for certifikater fra Diginotar, så har Apple endnu ikke reageret.

Dermed er brugerne af Apples Safari-browser fortsat i farezonen for eksempelvis et manden-i-midten-angreb ved hjælp af et kompromitteret certifikat. Problemet forstærkes af, at det ikke er muligt for Mac OS X-brugerne selv at afvise certifikaterne.

Ganske vist kan Mac OS X-brugerne fjerne certifikaterne fra Keychain-softwaren, men hvis certifikatet identificerer sig som et af de udvidede Extended Validation-certifikater, så vil Safari fortsat etablere en SSL-forbindelse.

Extended Validation-certifikater blev indført for at afhjælpe problemer med, at visse phishing-hjemmesider brugte SSL-forbindelser til at narre brugerne til at tro, at siderne var sikre. Derfor blev EV-certifikaterne skabt, så brugerne kunne få en tydelig visuel identifikation af, at en side var blevet særligt godkendt.

Problemet i Diginotar-sagen er imidlertid, at selskabets eget rodcertifikat formentligt er kompromitteret og derfor kan bruges til at lave falske EV-certifikater.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere