Google gaat in zijn browser Chrome zogeheten ssl-certificaten van de Chinese overheid blokkeren.

Dat laat het bedrijf donderdag weten.

Vorige week kwam aan het licht dat een vals certificaat van CNNIC, de certificaatautoriteit van de Chinese overheid, was uitgegeven door het Egyptische bedrijf MCS Holdings. Dergelijke ssl-certificaten worden gebruikt om aan te geven dat een verbinding veilig is, te herkennen aan https en het groene slotje naast de url van een website.

Als een vertrouwde autoriteit MCS Holdings een vals certificaat uitgeeft, komt dit niet direct aan het licht. Browsers vertrouwen het certificaat in principe terwijl met zo'n vals certificaat een ogenschijnlijk beveiligde verbinding kan worden afgetapt door kwaadwillenden.

Het is dan bijvoorbeeld mogelijk een malafide website die eruit ziet als de site van een bank te voorzien van een veilig certificaat. Klanten zijn dan geneigd hun inloggegevens in te vullen omdat de verbinding beveilig lijkt, maar die gegevens kunnen direct worden afgetapt.

Gevolgen

Google blokkeert voorlopig alle CNNIC-certificaten in de browser Chrome, die wereldwijd een marktaandeel heeft van zo'n 50 procent.

CNNIC geeft niet alleen certificaten uit voor de Chinese overheid, maar ook voor sommige commerciële partijen. Al deze websites worden nu niet meer vertrouwd door Google waardoor Chrome-gebruikers een melding krijgen dat de verbinding mogelijk onveilig is.

Het is voor het eerst sinds 2011 dat op deze schaal ssl-certificaten in opspraak raken. Destijds werd het Nederlandse bedrijf Diginotar gehackt waardoor valse certificaten werden uitgegeven. Diginotar verzweeg de hack enkele maanden. 

Diginotar

Mozilla, het bedrijf achter de Firefox-browser, laat aan Arstechnica weten zich nog te beraden op een reactie. Google werkt nog wel samen met CNNIC aan een oplossing. Na eventuele maatregelen kunnen de certificaten in Chrome weer worden toegelaten.