Mozilla beschermt gebruikers tegen Superfish SSL-certificaat
Allerlei tools bieden de mogelijkheid de Superfish adware te verwijderen. In sommige gevallen wordt het certificaat echter niet uit Mozilla Firefox verwijderd, waardoor gebruikers van de webbrowser alsnog risico lopen. Mozilla brengt daarom een hotfix uit om te controleren of Superfish goed is verwijderd.
De afgelopen week is veel onrust ontstaan over Superfish, adware die door Lenovo standaard op laptops bleek te worden meegeleverd. Superfish installeerde op computers een rootcertificaat om SSL-verkeer te kunnen onderscheppen. Hierbij wordt echter gebruik gemaakt van een onveilig SSL-certificaat, waardoor gebruikers het risico lopen slachtoffer te worden van cyberaanvallen.
Niet iedere tool doet zijn werk goed
Verschillende bedrijven waaronder Lenovo zelf kwamen daarop met tools waarmee de Superfish adware van computers kan worden verwijderd. Niet iedere tool doet zijn werk echter even goed. Een aantal tools bleken het Superfish-certificaat niet uit Mozilla Firefox te verwijderen, waardoor gebruikers van deze webbrowsers alsnog risico liepen slachtoffer te worden van cybercrime.
In een blogpost schrijft Richard Barnes, Security Engineer bij Mozilla, dat Lenovo-gebruikers op het slotje in de adresbalk van Mozilla Firefox moeten klikken. Indien hier de tekst ‘Verified by: Superfish, Inc.’ te zien is werkt de gebruiker op een machine die geïnfecteerd is met Superfish. Barnes verwijst naar een tool van Lenovo om de adware te verwijderen. Met behulp van een hotfix van Mozilla kunnen gebruikers vervolgens controleren of het Superfish certificaat inderdaad volledig is verwijderd.
Lees ook
Google wil dat alle websites aan Certificate Transparency standaard gaan voldoen
Google kondigt aan vanaf oktober 2017 een Certificate Transparency beleid te gaan hanteren in de webbrowser Chrome. Deze nieuwe standaard maakt het mogelijk websites met een onjuist SSL-certificaat automatisch te detecteren en labelen. SSL-certificaten geven gebruikers de mogelijkheid de legitimiteit van een website te controleren en zeker te stel1
Gratis tool van Mozilla helpt SSL-gebruik van websites te controleren
Mozilla stelt een gratis tool beschikbaar waarmee kan worden nagegaan hoe websites SSL of TLS hebben geïmplementeerd. De tool heet Observatory en is bedoeld om websitebeheerders te helpen hun websites veiliger te maken. In een blogpost wijst April King, Information Security Engineer bij Mozilla, erop dat er allerlei technologieën beschikbaar zijn1
3,8 miljoen websites gebruiken SSL-certificaat van Let’s Encrypt
Het initiatief Let’s Encrypt maakt bekend 1,7 miljoen SSL-certificaten te hebben verstrekt aan 3,8 miljoen websites. Let’s Encrypt stelt dat deze mijlpaal aanleiding is de bèta fase achter zich te laten. Let’s Encrypt is een non-profit organisatie die is opgericht door de Internet Security Research Group (ISRG). De ISRG wordt gesteund door onder a1