DNSSEC in Chrome timmert certificaten dicht

Google heeft in versie 14 van Chrome ondersteuning doorgevoerd voor DNSSEC, de beveiligde variant van internetadresboek DNS (domain name system). De nieuwe browserversie is automatisch geïnstalleerd bij alle gebruikers. Deze vernieuwing is in juni al aangekondigd; toen is het toegevoegd aan de developer-uitvoering van Chrome.

DigiNotar-gate

Op basis van DNSSEC is het mogelijk een alternatief te gebruiken voor het certificatensysteem dat controleert of beveiligde verbindingen met websites wel op orde zijn. Dat wereldwijd gebruikte systeem staat onder flinke druk door de vergaande cyberinbraak bij het Nederlandse DigiNotar. Daarbij zijn frauduleuze certificaten aangemaakt, onder meer voor Google.com en het daaronder vallende Gmail.

Het op DNSSEC gebaseerde DANE (DNS-bases authentication of named entities) controleert de 'echtheid' en herkomst van certificaten. Het doet dat op basis van de certificaten die een domeineigenaar, zoals Google voor zijn eigen sites, zelf invoert in DNSSEC.

Dit voorkomt het 'blinde' gebruik door browser van vervalste certificaten én ten onrechte aangemaakte exemplaren, zoals in het geval van DigiNotar. Google werkt al ruim een jaar aan certificaatcontrole via DNSSEC.

Eigen whitelist

De frauduleuze, maar technisch gezien wel echte, DigiNotar-certificaten zijn eind augustus ontdekt door een Iraanse gebruiker. Zijn ontdekking is te danken aan een voorziening die Google al had ingebouwd in Chrome: die browser controleert al zelf op certificaten.

Die extra bescherming is in juni ingevoerd in de Chromium-broncode. De Google-browser heeft een eigen controlelijst voor bepaalde domeinen, zoals Google.com. Die lijst bevat de certificaatverstrekkers die echt 'officieel' zo'n certificaat hebben uitgegeven. Dit in tegenstelling tot DigiNotar, waar een hacker frauduleuze certificaten heeft aangemaakt, zonder dat de domeineigenaren daarvan wisten.