Problemer med sikkerhetssertifikater i OS X

OS X-brukere melder om problemer med å annullere sikkerhetssertifikater etter helgens Gmail-hack.

Publisert Sist oppdatert

En programmeringsfeil i Apples OS X gjør det vanskelig for brukere å annullere falske sikkerhetssertifikater.

Problemet har dukket opp i etterkant av et sikkerhetsproblem knyttet til et ugyldig SSL-sertifikat fra nederlandske Diginotar .

Mac-brukere begynte å rapportere problemet på tirsdag når mange forsøkte å annullere sikkerhetssertifikater fra Diginotar. Etter å ha annulert sertifikater, oppdaget flere at nettsteder som bruker sertifikater fra Diginotar fortsatt var akseptert av nettleseren.

Brukere flest har ikke behov for å annullere sertifikater selv, for slikt skjer som regel automatisk i nettleseren gjennom oppdatering av programvare. Chrome, Firefox og Internet Explorer har allerede fjernet sertifikatene, men Apple har ikke røpet hvordan de vil håndtere saken med sin nettleser Safari.

Overstyres av OS X

Ryan Sleevi, en utvikler som blant annet har bidratt til Googles nettleser Chrome, har oppdaget årsaken til problemet.

Brukere kan annullere sertifikater i OS X applikasjonen Keychain (Nøkkelringtilgang i norsk versjon av OS X), men om de besøker et nettsted som bruker såkalt EV-sertifikat (Extended Validation Certificate) vil innstillingene i Keychain overstyres av Mac-en og markere nettstedet som trygt.

- Når Apple ser at du er på et nettsted med EV-sertifikater, så sjekker de ting annerledes. De overstyrer noen av innstillingene dine, og overser dem fullstendig, sier Sleevi i et intervju med Computerworld USA.

Apple er ofte stille når det gjelder sikkerhetsproblemer, og har ennå ikke kommentert saken.

Vanskelig å utnytte

Problemer med digitale sikkerhetssertifikater kan være skumle, men det er vanskelig for en angriper å utnytte falske sertifikater. For selv om hackeren har et falskt sikkerhetssertifikat, så må han også lure offeret til å tro at et falskt nettstedet faktisk er ekte.

Dette kan innebære et såkalt mellommann-angrep, og er oftest rettet mot en bestemt virksomhet eller utvalgte personer.

Det var nettopp et slikt angrep Google rapporterte om på søndag, da de meldte at iranske brukere av epost-tjenesten Gmail hadde blitt utsatt for et angrep hvor hackerne var utstyrt med falske sertifikater fra nederlandske CA Diginotar.