Kirtiek op SSL-waarschuwingen Firefox
Critici beschuldigen Firefox 3.0 van paniekzaaierij. De browser toont een waarschuwing wanneer een SSL-certificaat is verlopen.
Ook toont de nieuwste versie van Firefox een waarschuwing wanneer er wel een SSL-certificaat is, maar wanneer deze niet is uitgegeven door een partij die bij de browser als betrouwbaar te boek staat, meldt NetworkWorld.
Critici klagen dat Mozilla hiermee onnodige onrust zaait. De browsermaker zou hiermee bovendien websites dwingen om zaken te doen met specifieke uitgevers van SSL-certificaten, om te voorkomen dat er een waarschuwing bij hun sites verschijnt.
Browsers gebruiken SSL-certificaten om een versleutelde verbinding tot stand te brengen en de echtheid van een site te valideren.
Mozilla waarschuwt op zijn site dat SSL-certificaten die niet zijn verstrekt door een gevalideerde autoriteit (zogenaamde self signed certificates, of SSC) onveilig zijn. Hoewel Mozilla beweert dat de nieuwe functie in Firefox 3.0 bedoeld is om aanvallen te voorkomen, zijn veel sites erdoor gedupeerd.
Zo wordt ondermeer de site van het Amerikaanse leger als onveilig gebrandmerkt. Deze site gebruikt certificaten die worden verstrekt door de Department of Defense, en dit wordt door Firefox niet gezien als een gevalideerde autoriteit. Wie de pagina van het leger bezoekt met Firefox 3.0 krijgt de melding dat een veilige verbinding niet tot stand kon worden gebracht en dat het certificaat van de site onbetrouwbaar is.
Er is veel kritiek op Mozilla, bijvoorbeeld van weblog Pingdom.com. Deze vreest dat tienduizenden mensen hier last van zullen ondervinden: "De mensen die SSL-waarschuwingen het hardste nodig hebben, zijn onervaren gebruikers. Zij zullen de foutmelding van Firefox 3 waarschijnlijk niet snappen en de site direct verlaten."
Ontwikkelaar Nat Tuck doet er nog een schepje bovenop en schrijft op zijn blog dat de nieuwe optie binnen Firefox slecht is voor internet in het algemeen: "Mozilla beperkt het gebruik van SSL op deze manier voor mensen die bereid zijn om te betalen voor een certificaat dat afkomstig is van één van de uitgevers die bij het bedrijf als betrouwbaar te boek staat. Dit is een slechte ontwikkeling, voor uitgevers en het web in z'n geheel."
Mozilla denkt echter dat de nieuwe koers belangrijk is en een belangrijke factor in de strijd tegen man-in-the-middle attacks . Volgens Jonathan Nightingale, ontwikkelaar bij Mozilla "waren dit soort aanvallen ooit onderdeel van bangmakende fictieverhalen, maar tegenwoordig is het een kwestie van een paar keer klikken om zo'n aanval uit te voeren. Het enige dat je écht kan vertellen of de sites die je bezoekt echt zijn, is de aanwezigheid van een betrouwbaar certificaat, die alleen de site zelf heeft."
Nightingale voegt daar nog aan toe dat SSC weliswaar niet slecht zijn, maar dat het de vraag is of ze kunnen worden vertrouwd. Omdat Mozilla deze vraag niet kan en wil beantwoorden laat het de keus volgens Nightingale over aan de gebruiker, die kan aangeven of het certificaat vertrouwd moet worden of niet.
Reeds geplaatste reacties