Mozilla heeft zijn 32ste Firefox versie uitgebracht. De update bestaat uit een vernieuwde ‘http-cache’ en ze hebben hier ‘certificate pinning’ in aangebracht.
De vernieuwde ‘http-cache’ zorgt ervoor dat nieuwe pagina’s sneller worden geladen en de browser moet minder geheugen in beslag nemen. Ook moet de browser zich beter herstellen na een crash. Verder zijn er nog 8 bugs verholpen waar er 5 kritiek van waren. Kritiek is de hoogste rating voor een lek en houdt in dat een aanvaller het onderliggend systeem volledig kan overnemen.
De bedoeling van ‘certificate pinning’ is dat het vermoeilijkt wordt om valse certificaten uit te delen. Hackers proberen Certificaat Autoriteit (CA) te hacken om vervolgens valse certificaten uit de delen zodat webbrowsers geen alarm uitslaan als een bepaalde website gehackt is. Websites kunnen via ‘certificate pinning’ aangeven van welke CA zij een SSL-certificaat hebben gekregen. Doordat Firefox dan dus weet welke CA een website normaal gesproken certificeert kunnen ze alarm slaan wanneer een andere CA de website certificeert.
Hierdoor komt eerder naar boven of een CA gehackt is. Een voorbeeld van zo’n incident is DigiNotar. Hier hebben hackers valse certificaten gegenereerd voor websites van google. De browsers accepteerden dit certificaat, omdat DigiNotar een geaccepteerde CA was. Google Chrome sloeg echter wel alarm, omdat deze browser al wel gebruik maakte van ‘certificate pinning’.
Tot nu toe werkt ‘certificate pinning’ op Firefox alleen nog maar op de websites van Mozilla en Twiter. Er zullen er later nog meer volgen.
Bron: security.nl