Google blokkeert in Chrome alle SSL-certificaten van Chinese Cnnic

Abonneer je gratis op Techzine!

Google heeft besloten om alle SSL-certificaten die door de Chinese certificaatautoriteit Cnnic zijn uitgegeven te blokkeren. Dat bedrijf deelt onder andere certificaten uit aan de Chinese overheid, maar was ook verantwoordelijk voor de verspreiding van Google-certificaten maar niet aan Google zelf. Google neemt daarop harde maatregelen door de complete certificaatautoriteit buitenspel te zetten.

Alle websites die gebruik maken van SSL-certificaten van Cnnnic zullen straks in Chrome, Chrome OS en Android niet meer als veilig worden gezien. Of andere browserfabrikant de stap van Google volgen is nog even de vraag. Bedrijven die gebruik maken van deze certificaten doen er verstandig aan deze te vervangen door certificaten van een leverancier die wel te boek staat als veilig. Google neemt deze stap omdat de autoriteit fraudeleuze certificaten heeft uitgegeven van Google-domeinen.

Doordat Google deze autoriteit nu buitenspel zet is de kans groot dat deze in grote problemen gaat komen. Op het moment dat een certificaatautoriteit niet meer te vertrouwen is en alle klanten vertrekken is het haast onmogelijk om het bedrijf overeind te houden. Eerder gebeurde dit ook in Nederland met Diginotar. Deze certificaatautoriteit was gehackt en besloot dat geheim te houden, waardoor de kwaadwillende vrij spel hadden. Toen vervolgens de hack toch aan het licht kwam besloten de browserfabrikanten Diginotar te schrappen waardoor alle klanten vertrokken en de ene na de andere schadeclaim werd ingediend. Het bedrijf ging kort daarna failliet.

Google heeft aangegeven een overgangsfase te bieden aan bedrijven die gebruik maken van Cnnic, zij krijgen de tijd om hun certificaten te vervangen, hoelang ze hiervoor de tijd krijgen is niet duidelijk, maar wij vermoeden maximaal één week. Daarna worden de certificaten als onbetrouwbaar gemarkeerd. Google laat weten dat het op termijn Cnnic mogelijk wel weer wil accepteren als vertrouwde autoriteit maar verwacht wel dat het bedrijf "certificate transparancy" gaat inbouwen. Daarmee kunnen derden controleren of het bedrijf valse certificaten heeft uitgegeven, of Cnnic bereidt is deze techniek te implementeren is onduidelijk.