Adobe kommer i dag med en oppdatering til selskapets Acrobat- og Reader-produkter hvor et av rotsertifikatene til nederlandske DigiNotar fjernes fra produktene.
DigiNotars sertifikatvirksomhet ble kompromittert i juli, noe som førte til utstedelse av over 500 falske sikkerhetssertifikater. I ettertid har det vist seg at sikkerheten til disse systemene var høyst kritikkverdig.
Adobes PDF-produkter støtter DigiNotar Qualified CA-rotsertifikat, som ikke er det samme som ble brukt i forbindelse med forfalskningen – DigiNotar Public CA. Adobe fjerner likevel Qualified CA-sertifikatet fordi det nederlandske sikkerhetsselskapet Fox-IT har funnet bevis for at hackeren som står bak angrepet, også kan ha tilgang til denne delen av DigiNotars virksomhet.
Sertifikatene i Adobe Approved Trust List brukes i forbindelse med digital signering av dokumenter.
I en kommentar til dette blogginnlegget, skriver Adobes John B. Harris at selskapet har ventet med å fjerne det aktuelle sertifikatet som følge av en forespørsel fra nederlandske myndigheter, som ønsket mer tid til å utforske konsekvensene av sletting, samt å forberede systemene sine på endringen.
DigiNotars sertifikattjenester har primært blitt benyttet av nederlandske kunder, inkludert regjeringen.
Apple
Også Apple har nå fjernet DigiNotar fra listen over pålitelige rotsertifikater. Selskapet fikk i forrige uke kritikk for lang på å få på plass dette, men kom fredag med en sikkerhetsoppdatering til Mac OS X 10.6 og 10.7 hvor problemet løses. Brukere av eldre utgaver av Mac OS X må etter alt å dømme fjerne rotsertifikatet selv.
Safari for Windows benytter det sentrale sertifikatsystemet i Windows.
Mozilla
Firefox-leverandøren Mozilla var blant de første til å fjerne DigiNotars rotsertifikat. I forrige uke gikk stiftelsen et skritt videre. Den har sendt et åpen brev til alle sertifikatutstedere med rotsertifikat i Firefox og annen programvare som benytter Network Security Services.
I brevet ber Mozillas Kathleen Wilson sertifikatutstederne om dokumentasjon for at samtlige har gjennomgått eller har en konkret tidsplan for å gjennom systemene sine for å sikre at de ikke har blitt utsatt for innbrudd eller kompromittering. Tidsfristen for levering av dette er den 16. september.
Wilson skriver ikke hva som vil være konsekvensen dersom noen unnlater å levere det hun ber om, men understreker at DigiNotar ble fjernet fra listen over tiltrodde sertifikatutstedere fordi selskapet ikke varslet Mozilla om innbruddet.
– Vi vil gjøre det som er nødvendig for å sikre brukerne våre, skriver Wilson.
28 prosent av verdens nettleserbrukere benytter Firefox, ifølge StatCounter. Det gir Mozilla en viss tyngde når stiftelsen stiller krav, siden det å bli fjernet fra Mozillas liste over tiltrodde sertifikatutstedere sannsynligvis en ensbetydende med en «dødsdom» for den aktuelle sertifikatvirksomheten.
Les også:
- [07.09.2011] Hacker hevder han står bak DigiNotar-innbrudd
- [05.09.2011] Forfalsket over 500 sikkerhets-sertifikater