"Beste Certificate Authority [CA - red.], deze brief vraagt een reeks onmiddellijke acties van uw kant, als deelnemer aan het Mozilla root-programma", begint de brief van Mozilla-consultant Kathleen Wilson. Zij zet de recente DigiNotar-affaire uiteen, waarbij die Nederlandse certificaatverstrekker heeft gefaald in het detecteren, bezweren en melden van een vergaande cyberinbraak.

Vijf flinke maatregelen

Mozilla schrijft nu andere CA's aan die root-certificaten leveren voor gebruik in Firefox. Die verstrekkers worden gesommeerd een vijftal maatregelen te nemen. Dit zijn ten eerste: een audit uitvoeren van hun PKI (Public Key Infrastructure) en hun systemen, om te kijken naar sporen van inbraak. Dat omvat ook gelieerde CA's en RA's (Registration Authorities). De Comodo-inbraak in maart dit jaar is gedaan via een reseller van die CA.

De tweede maatregel is het toesturen van een volledige lijst van root-certificaten in Mozilla die kruislings zijn ondertekend met andere roots. Ook dat is inclusief derde CA's en RA's.

Ten derde eist Mozilla bevestiging dat de certificaatverstrekkers multi-factor authenticatie verplicht in gebruik hebben voor alle accounts waarmee certificaten direct zijn uit te vaardigen.

Aan banden leggen

Ten vierde vraagt de Firefox-maker bevestiging dat de CA's automatische blokkeringen hebben ingesteld op belangrijke domeinnamen. Dat betreft onder meer Google.com, Mozilla.com en andere bekende sites die het doelwit waren in de DigiNotar-inbraak en de Comodo-hack. Hierbij wil Mozilla ook informatie over het proces bij de CA's voor handmatige verificatie als zo'n automatische blokkade in werking is getreden.

De vijfde maatregel betreft de externe bedrijven (CA's en RA's) die certificaten kunnen uitgeven of die zelf direct kunnen aanmaken bij de root-CA's. Mozilla eist dat die gelieerde organisaties technische beperkingen krijgen opgelegd zodat ze alleen voor een specifieke set domeinnamen certificaten kunnen aanmaken. Dat zijn dan domeinnamen waarvan eerst gecontroleerd is dat de derde partij daarvoor een eigen registratie of autorisatie van de domeinnaameigenaar heeft.

Of onderwerpen aan audit

Een alternatief voor dit aan banden leggen van de externe partijen is het opstellen en toesturen van een volledige lijst met die derden, compleet met links naar hun formele beleidsregels voor certificaten en praktijken.

Daarbij moeten de root-CA's ook een formele verklaring afleggen dat de aan hun verbonden certificaatbedrijven conformeren aan de verificatie- en operationele vereisten die dan worden gesteld door een auditor. Laatstgenoemde is "een competente, onafhankelijke partij of partijen met toegang tot details van het interne opereren" van de CA-gelieerden. Eigen audits lijken dus niet toegestaan.

Dreigement

De afzender van deze brief, certificatenexpert Wilson, geeft aan het slot nog het subtiele dreigement dat deelname van CA's aan het root-programma van Mozilla volledig wordt bepaald door die open source-stichting. Het wel of niet (langer) toelaten, is dus geheel aan Mozilla. "Dank voor uw medewerking", aan het beschermen van onze gebruikers, sluit de brief af.

Voorgelogen

Mozilla laat nog kies achterwege dat het tussentijds is voorgelogen door de Nederlandse overheid. Die heeft namelijk, via ict-beveiligingsorgaan GovCERT, verzekerd dat de overheidstak van DigiNotar niet was gekraakt. Dit terwijl het onderzoek naar de cyberinbraak nog liep.

Deze voorbarige - en later onjuist gebleken - boodschap heeft een voor Firefox op stapel staande algehele ban op DigiNotar-certificaten voorkomen. De vervolgens gedeeltelijke ban (in Firefox 6.0.1) is inmiddels met een volgende patch (6.0.2) weer opgeschaald. DigiNotar bleek volledig gecompromitteerd.

De onzekerheid gaat nu diep. De DigiNotar-kraak is namelijk opgeëist door een hacker die eerder certificaatbedrijf Comodo heeft gepakt. Bovendien claimt hij nu ook nog vier andere CA's te zijn binnengedrongen. Daarvan heeft hij er één genoemd: GlobalSign. Dat bedrijf neemt de claim serieus en voert een onderzoek uit, waarbij het DigiNotar-onderzoeker Fox-IT heeft ingehuurd.

CA's en browsermakers

Mozilla-consultant Wilson voegt nog toe dat dit eigen vereisten zijn van Mozilla, die de open source-stichting toepast bovenop de zogeheten Baseline Requirements van het CA/Browser Forum. Dat vrijwillige samenwerkingsverband van CA's en browsermakers werkt al ruim twee jaar aan een gezamenlijke basisset vereisten voor de uitgifte van beveiligingscertificaten voor publieke websites.

Een eerste ruwe versie (draft) van deze basiseisen is in april dit jaar gepubliceerd voor publieke consultatie. Die reviewperiode is eind mei afgesloten. Naast Mozilla hebben ook Apple, Google, KDE, Microsoft, Opera en Blackberry-maker RIM zitting in die club. DigiNotar, Comodo, GlobalSign, Thawte en GeoTrust bevinden zich eveneens onder de leden. Certificaatreus VeriSign wordt niet genoemd als lid.

Eigen koers

Wilson stelt dat Mozilla het werk van het CA/Browser Forum blijft steunen, maar dat het altijd al eigen beleid en vereisten heeft gehad en dat altijd zal houden. Die gelden dan voor CA's met root-certicaten in Mozilla's programma daarvoor.

Een overzicht van Mozilla's communicatie met CA's, waarvan deze onderzoekseis de nieuwste mail is, staat op een aparte pagina bij elkaar.

Update:

VeriSign-eigenaar Symantec staat wel als lid genoemd bij het CA/Browser Forum. De andere twee certificaatdochters van het softwareconcern staan wel onder eigen naam op de ledenlijst.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.