Aanbieder van versleutelde e-mail ProtonMail waarschuwt internetgebruikers om certificaten van certificaatautoriteit QuoVadis niet uit hun browser te verwijderen, aangezien dit voor problemen zorgt bij het bezoeken van tal van websites. QuoVadis kwam in het nieuws naar aanleiding van een verzoek van het omstreden securitybedrijf DarkMatter aan Mozilla.

DarkMatter wil als rootcertificaatautoriteit aan Firefox worden toegevoegd. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. De Amerikaanse burgerrechtenbeweging EFF is bang dat als het rootcertificaat van DarkMatter in Firefox wordt opgenomen, het bedrijf dit kan gebruiken voor het uitgeven van tls-certificaten voor allerlei websites. Deze certificaten worden door browsers vertrouwd en zouden het bedrijf man-in-the-middle-aanvallen laten uitvoeren, waarbij het mogelijk is om versleuteld verkeer te onderscheppen en ontsleutelen.

DarkMatter beschikt op dit moment al over een “intermediate” certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht vindt echter plaats door DigiCert, waardoor de schade beperkt blijft, aldus de EFF. Toch heeft de burgerrechtenbeweging aan Mozilla gevraagd om het intermediate certificaat van DarkMatter in te trekken.

Naar aanleiding van de berichtgeving riepen sommige mensen op om de certificaten van QuoVadis uit de browser te verwijderen. Volgens ProtonMail is deze overhaaste actie ongerechtvaardigd en zorgt het ervoor dat allerlei websites niet meer zullen werken, waaronder ProtonMail en ProtonVPN. “Alleen omdat QuoVadis een certificaat voor DarkMatter heeft uitgegeven wil nog niet zeggen dat er een probleem is met de andere certificaten die eerder door QuoVadis zijn uitgegeven”, aldus ProtonMail.

De e-mailprovider benadrukt dat het zich niet kan vinden in de activiteiten van DarkMatter en dat QuoVadis het certificaat van het securitybedrijf moet intrekken. Toch heeft dit geen gevolgen voor de andere uitgegeven certificaten van QuoVadis. “Het feit dat DarkMatter een certificaat van QuoVadis heeft gekregen wil niet zeggen dat het certificaatautoriteitsysteem is gecompromitteerd”, besluit ProtonMail. De e-mailprovider stelt dat het DigiCert gaat vragen om het certificaat van DarkMatter in te trekken en dat de beslissing hierover een rol zal spelen bij de beslissing om met DigiCert in de toekomst te blijven samenwerken.