Google.com-sertifikat på avveie

Enkelte Gmail-brukere kan ha logget inn på falsk tjeneste i over en måned.

Advarselen den iranske brukeren av Google Chrome fikk da de besøkte Gmail.
Advarselen den iranske brukeren av Google Chrome fikk da de besøkte Gmail. Bilde: «alibo»
Harald BrombachHarald BrombachNyhetsleder
30. aug. 2011 - 12:52

DigiNotar, en nederlandsk utsteder av blant annet SSL-sertifikater, har utstedt et sertifikat for google.com til noen andre enn Google selv. Det falske sertifikatet, som i utgangspunktet framstår som ekte for nettleserne, skal ha blitt brukt i forsøk på å omdirigere trafikken til brukere av blant annet Gmail i Iran.

Sist søndag meldte en iransk Google Chrome-bruker om at han hadde fått en sertifikatadvarsel i nettleseren i det han besøkte Googles Gmail-tjeneste. Han skriver videre at han ikke fikk den samme advarselen da han besøkte tjenesten via en VPN-tjeneste. I et senere innlegg skriver han at en venn med en annen iransk internettleverandør opplever det samme.

En slik omdirigering kan enkelt oppnås dersom man har kontroll over DNS-serveren som internettbrukerne benytter.

Sertifikatet som har kommet på avveie er gjengitt på denne siden. Der går det fram at sertifikatet ble utstedt av DigiNotar allerede den 10. juli. Det kan dermed ha blitt brukt siden da til å forlede iranske brukere til å benytte forfalskede Google-tjenester. Det er nærliggende å tro at iranske myndigheter kan ha hatt en finger med i spillet, siden flere kunder av flere internettleverandører skal være berørt.

I praksis betyr dette at de som står bak de falske tjenestene kan ha fått full tilgang til all korrespondanse som har blitt gjort via Gmail av de berørte brukerne. Ikke nødvendigvis ved at angriperne har laget en fullstendig kopi av Googles tjeneste, men ved at det har blitt benyttet en innloggingsside som samler inn brukernes brukernavn og passord, før de sendes videre til den virkelige Gmail-tjenesten. For iranske regimekritikere kan dette ha vært katastrofalt.

Flere nettleserleverandører opplyser nå at de vil fjerne rotsertifikatet til DigiNotar fra listen over pålitelige rotsertifikater. Dette vil ramme alle nettsteder som har benyttet DigiNotars sertifikattjenester. En ikke komplett liste over disse finnes her. For DigiNotar betyr denne uforsiktigheten at selskapet i praksis aldri mer vil kunne utstede sertifikater.

– En sikkerhetsfunksjon i Chrome advarte brukere om det ugyldige sertifikatet og blokkerte dem fra å besøke angriperens nettsted. Vi er glade for at sikkerhetstiltakene i Chrome beskyttet brukeren og gjorde dette angrepet offentlig kjent. Mens vi etterforsker, planlegger vi å blokkere alle nettsteder med sertifikater som er signert av DigiNotar, opplyser Google til Cnet News. Selskapet har også kommet med et blogginnlegg om problemet.

Microsoft opplyser at selskapet har fjernet DigiNotars rotsertifikat fra Microsoft Certificate Trust List, som benyttes av Windows Vista, Windows 7, Windows Server 2008 og Windows Server 2008 R2. Brukerne av disse operativsystemene vil få en advarsel dersom de besøker et nettsted (med Internet Explorer) eller installerer programvare som er signert med DigiNotars rotsertifikat. Brukere av Windows XP og Windows Server 2003 vil måtte vente på en framtidig oppdatering som skal ta seg av problemet.

Mozilla planlegger i gi ut oppdaterte utgaver av både Firefox og Thunderbird, hvor tilliten til DigiNotars rotsertifikat er tilbakekalt.

Oppdaterting: Opera Software forteller her hvordan dette er løst i Opera.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.