BINNEN ZONDER KLOPPEN
Digitale certificaten blijken minder betrouwbaar dan altijd aangenomen. Onlangs slaagde een onbekende er voor het eerst in om bij VeriSign een vals certificaat aan te vragen. Met alle risico's van dien: software met een vervalst certificaat kan een virus bevatten.
Digitale certificaten zijn een soort digitale geloofsbrieven die worden gebruikt bij elektronische handel of andere transacties op internet. Een certificaat bevat een naam, serienummer, vervaldatum, een kopie van de publieke sleutel van de eigenaar en een digitale handtekening van de CA, zodat de ontvanger kan zien dat het certificaat echt is. Certificaten zijn vaak gekoppeld aan software en webtoepassingen. Wie een webtoepassing met een digitaal certificaat tegenkomt, kan op basis van de gegevens op het certificaat beslissen of hij de toepassing wel of niet wil uitvoeren.
Vervalsing
Digitale certificaten worden uitgegeven door een Certification Authority (CA). De grootste en bekendste CA is VeriSign, dat al zo'n 500.000 certificaten heeft uitgegeven. Dit bedrijf is onlangs in opspraak gekomen, toen onbekenden erin slaagden om twee digitale certificaten aan te vragen op naam van Microsoft. Daardoor lijkt het alsof programma's met deze vervalste certificaten daadwerkelijk van Microsoft afkomstig zijn. In werkelijkheid zou het om malicieuze software kunnen gaan, bijvoorbeeld een virus of een 'sniffer', een programma om wachtwoorden en bestanden op andere computers te onderscheppen.
Volgens VeriSign heeft iemand zich uitgegeven voor een medewerker van Microsoft. De valse certificaten zijn op 29 en 30 januari 2001 getekend. Op deze dagen zijn geen andere Microsoft-certificaten uitgegeven, dus wie een Microsoft-certificaat tegenkomt met een van deze twee data, weet direct dat het vals is. De vervalsing werd bij VeriSign pas in maart ontdekt tijdens een routinecontrole.
Patch
Volgens VeriSign is het de eerste keer dat valse certificaten in omloop zijn gekomen. Microsoft en VeriSign nemen de zaak hoog op en hebben zelfs de FBI ingeschakeld. De certificaten zijn onmiddellijk op een lijst van ingetrokken certificaten geplaatst. Het probleem is alleen dat bijna geen enkele browser deze lijst controleert. Internetgebruikers dienen dus vooral zelf goed op te letten, maar de vraag is of je dat wel van een onervaren gebruiker kunt verwachten.
Gelukkig is nog geen misbruik van de valse certificaten bekend. Het blijft dus de vraag of de aanvrager er daadwerkelijk misbruik van gaat maken, of dat hij alleen maar een zwakke plek in de aanvraagprocedure van VeriSign heeft willen aantonen. Microsoft heeft het zekere voor het onzekere genomen en stelde binnen enkele dagen een patch ter beschikking voor alle gebruikers van Windows 95, 98, Me, NT 4, 2000 en zelfs XP.
Het is voor het eerst dat Microsoft met een update komt voor álle Windows-versies vanaf 95. Aangezien in principe alle Windows-computers over de hele wereld risico lopen, zal de patch op elk daarvan moeten worden geďnstalleerd. Alleen al de installatie kost het bedrijfsleven vele duizenden mensuren.
