2 januari 2009
Nederlandse en Amerikaanse onderzoekers hebben het belangrijkste beveiligingssysteem voor internetsites, het SSL-certificaat, gekraakt. De kraak vergroot het risico dat malafide websites zich voordoen als veilig. De onderzoekers presenteerden hun uitkomsten gisteren op de jaarlijkse hackerconferentie Chaos Communication Congress (CCC) in Berlijn. Ze hebben gebruik gemaakt van de rekenkracht van een cluster van 200 Playstations 3 om de code te kraken. Onderzoekers van het Nederlandse Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland en de Technische Universiteit Eindhoven en onafhankelijke security-onderzoekers in Californië bouwden een eigen Certificate Authority (CA). Dit is een instantie die digitale veiligheidscertificaten verleent aan websites. Hackers achterhaalden het mechanisme achter dit systeem, dat werkt met een digitale handtekening, zodat ze nu zelf in staat zijn om websites te voorzien van het bekende SSL-certificaat. Het is voor webbrowsers dan vrijwel onmogelijk om te zien of de site wel authentiek en dus veilig is. Het systeem stond al jaren bekend als 'onveilig' maar werd desondanks nog veelvuldig gebruikt. De onderzoekers wilden aantonen dat het nu echt dringend tijd is voor de CA's om de certificaten aan te passen. Ook leveranciers van webbrowsers moeten zorgen voor een betere beveiliging.