Mozilla waarschuwt applicatieontwikkelaars voor het verkeerd gebruik van de Mozilla root store, aangezien dit tot een ernstig beveiligingsprobleem binnen applicaties kan leiden. De root store bevat goedgekeurde rootcertificaten die voor serverauthenticatie (TLS) en digitaal gesigneerde en versleutelde e-mail (S/MIME) worden gebruikt.

Firefox controleert bij het opzetten van een beveiligde verbinding met een website via de root store of het door de website aangeboden TLS-certificaat van een vertrouwde certificaatautoriteit afkomstig is. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing.

De root store zit ingebouwd in Firefox en Network Security Services (NSS). De NSS-library is een verzameling libraries die de cross-platformontwikkeling van ‘security-enabled’ client- en serverapplicaties ondersteunt. NSS is open souce en wordt binnen veel Linux-distributies gebruikt. Naast de Mozilla root store biedt NSS ook de mogelijkheid voor ontwikkelaars om hun eigen root store te gebruiken.

“Applicaties die Mozillas root store voor andere doeleinden gebruiken hebben met een ernstig beveiligingsprobleem te maken”, zegt Kathleen Wilson van Mozilla. Sommige applicaties blijken de root stores van Mozilla of het ondergelegen besturingssysteem namelijk voor doeleinden te gebruiken waarvoor ze niet zijn bedoeld. Dit leidt tot een ernstige kwetsbaarheid die te vergelijken is met het niet valideren van aangeboden certificaten.

Zo maken sommige applicatieontwikkelaars gebruik van de root store op een manier waarbij niet-vertrouwde certificaten, zoals die van DigiNotar, toch worden vertrouwd, waarschuwt Wilson. Ze wijst applicatieontwikkelaars dan ook op het belang om root stores op de juiste manier te gebruiken en alleen rootcertificaten toe te staan die voor hun specifieke situatie vereist zijn.

Source