Gepubliceerd: Woensdag 8 februari 2012
Auteur: Andreas Udo de Haes

Certificaatboer Trustwave verkocht bewust een stamcertificaat, waarmee de klant onbeperkt versleuteld verkeer kon onderscheppen. Critici vinden dat het bedrijf, net als DigiNotar, in de ban moet.

Er is opnieuw ophef in SSL-land, nadat blijkt dat certificaatuitgever (CA) Trustwave, tegen alle regels in, een intermediair stamcertificaat heeft verkocht waarmee onbeperkt valse certificaten kunnen worden aangemaakt.

SSL-verkeer onderscheppen

Trustwave maakt zelf melding van de transactie. Inmiddels is het bedrijf tot inkeer gekomen en heeft het certificaat ingetrokken. Het concern bezweert dat het certificaat alleen voor gebruik was binnen één netwerk van de klant.

Dit bedrijf, waarvan de naam niet is bekend gemaakt, wilde voorkomen dat bedrijfsgeheimen uitlekten. Middels het stamcertificaat konden namelijk valse SSL-certificaten worden aangemaakt voor bepaalde externe websites. Hierdoor kon het versleutelde verkeer van werknemers naar deze sites worden onderschept en afgeluisterd, zonder dat zij iets in de gaten hadden.

Het is feitelijk dezelfde methode als waarmee de DigiNotar-hacker honderden valse certificaten aanmaakte voor legitieme sites zoals Facebook en Gmail, om zo de vertrouwelijke digitale communicatie van duizenden Iraanse burgers te onderscheppen. Deze methode wordt een Man-in-the-Middle aanval op SSL genoemd.

Doodstraf

Het uitgeven en verkopen van een dergelijk stamcertificaat is dan ook not done in de SSL-gemeenschap. Critici hekelen Trustwave en eisen dat Mozilla het bedrijf in de ban doet door álle certificaten van Trustwave te blokkeren. Dit gebeurde ook bij DigiNotar en komt neer op een zeker doodvonnis voor een CA.

En dat is dik verdiend, vindt security-onderzoeker Chris Soghoian . "Met macht over stamcertificaten komt grote verantwoordelijkheid. Trustwave heeft deze macht en vertrouwen misbruikt en de passende straf daarvoor is de dood (van zijn stamcertificaat)", schrijft Soghoian op het forum van Mozilla. De browsermakers hebben nog geen officieel standpunt bepaald over de kwestie.