Microsoft overweegt certificaatpinning in IE

[Captain Kirk]

Om gebruikers tegen aanvallen via vervalste certificaten te beschermen overweegt Microsoft om certificaatpinning aan Internet Explorer toe te voegen. Certificaatpinning moet aanvallen voorkomen waarbij aanvallers die zich tussen het slachtoffer en het internet bevinden frauduleus gegenereerde certificaten gebruiken om de gebruiker aan te vallen.

Voor het opzetten van beveiligde verbindingen werken websites met SSL-certificaten, die door certificaatautoriteiten (CA) worden uitgegeven. Een aanvaller die bij een CA weet in te breken en vervolgens een frauduleus SSL-certificaat genereert kan dit certificaat gebruiken voor een Man-in-the-Middle-aanval, waarbij de browser van de gebruiker geen waarschuwing geeft omdat het gebruikte certificaat van een geldige CA afkomstig is. Dit gebeurde bijvoorbeeld bij DigiNotar.

In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde CA's zijn uitgegeven. Als het certificaat door een CA is uitgegeven die niet op de whitelist staat geeft de browser een waarschuwing. Google Chrome ondersteunde deze maatregel als eerste en zorgde er zo voor dat de aanval op DigiNotar in de openbaarheid kwam. Een aanvaller had bij DigiNotar een frauduleus SSL-certificaat voor Google-domeinen gegenereerd dat tegen Iraanse internetgebruikers werd ingezet.

Andere browsers accepteerden het certificaat, maar Chrome sloeg alarm omdat DigiNotar niet op de lijst met gewhiteliste CA's stond die SSL-certificaten voor Google mogen uitgeven. In september van dit jaar voegde Mozilla certificaatpinning aan Firefox toe en nu blijkt ook Microsoft te overwegen om de maatregel aan toekomstige versies van IE toe te voegen.

bron: security.nl