Kathleen Wilson, manager van Mozilla's CA Certificates Module wil de verkoop van spionagecertifcaten aan banden legen. Daarvoor wil ze de eisen aan Certification Authority's (CA) in het root program van de browsermaker verhogen. In een brief aan de CA's zal ze eisen dat dergelijke certificaten binnen twee of drie maanden worden ingetrokken. Voorlopig is de brief nog in de conceptfase, gebruikers kunnen nog reageren voordat hij de deur uitgaat.

Vorige week kwam certfiticaatuitgever Trustwave in opspraak vanwege het verkopen van een zogenaamd stamcertificaat. De CA verkocht een certificaat waarmee het mogelijk is valse certificaten aan te maken voor ieder domein. Het bewuste certificaat zou zijn verkocht aan een bedrijf dat het alleen intern wilde gebruiken. Browsermaker Mozilla werd opgeroepen Trustwave in de ban te doen, net als destijds het geval was bij DigiNotar. Dit gebeurde uiteindelijk niet.

Man in the middle

Gebruik van valse certificaten wordt gezien als een man-in-the-middle aanval op het SSL-systeem. Als het certificaat is uitgegeven door een vertrouwde CA wordt het door de browser toch als geldig gezien. Wilson wil nu een einde aan die praktijken. “Ondergeschikte certificaten van CA's in Mozilla's root programma mogen niet worden gebruikt voor MITM-praktijken [man-in-the-middle, red.]", schrijft Wilson.

“Het maakt niet uit of dat in een gesloten omgeving is of niet. Check je bestaande ondergeschikte certificaten om er zeker van te zijn dat de certificaten daar niet voor worden gebruikt." Mozilla eist dat 'spionagecertificaten' voor een bepaalde datum worden ingetrokken. Wanneer dat is weet Wilson nog niet, maar de bedoeling is dat CA's zo'n drie maanden de tijd krijgen als de brief eenmaal formeel is.

'Doodstraf' voor CA

Voor certificaatleveranciers die de nieuw voorgestelde regels overtreden heeft Wilson een stevige straf in petto. “Als ontdekt wordt dat een stamcertificaat gebruikt wordt voor MITM zullen we het rootcertificaat verwijderen. Afhankelijk van onze inschatting kunnen we ook je andere rootcertificaten verwijderen."

Dat laatste komt neer op de doodstraf voor de certificaatleverancier. Als rootcertificaten worden geschrapt uit de browser, worden ze nergens meer als geldig gezien. In de nasleep van de Diginotar-affaire heeft Mozilla alle certificaten van het Nederlandse bedrijf geblokkeerd. Daarmee werd het doodvonnis van DigiNotar getekend.

Strenge eisen aan CA's

Wilson stelt in de conceptversie van de brief strenge eisen aan de certificaatuitgevers. Zij moeten haar bewijs overhandigen dat dergelijke certificaten zijn ingetrokken en de beveiliging voor certificaten moet omhoog. “Certificaten mogen MD5-algoritmes of met sleutels kleiner dan 1000 bits zijn gecodeerd. Controleer je certificaten en trek certificaten met te kleine sleutel of MD5-encryptie in", schrijft Wilson verder in haar conceptbrief.