Firefox dropper opportunistisk kryptering

Artiklen blev oprindeligt publiceret den 8/4/2015

Et nyopdaget sikkerhedshul har fået Mozilla til foreløbig at droppe funktionen opportunistisk kryptering i Firefox.

Opportunistisk kryptering består i, at et websted kan tilbyde krypteret kommunikation uden garanti for, at browseren kommunikerer med det rette websted. Der er tale om kryptering uden den autentifikation via godkendte certifikater, der indgår i HTTPS (Hypertext Transfer Protocol Secure).

Til at implementere det har Mozilla indført headeren Alt-Svc, der indgår i HTTP/2. Den angiver den alternative service, hvor browseren kan finde den krypterede udgave af indholdet.

En sikkerhedsforsker har nu opdaget en sårbarhed i implementeringen af Alt-Svc. Den gør det muligt at omgå advarsler om ugyldige certifikater.

Mozilla har lukket hullet med Firefox 37.0.1. Ifølge Security Week er det sket ved at slå Alt-Svc fra.

Anbefaling
Opdater til den seneste version af Firefox.

Links

• Mozilla Disables Opportunistic Encryption in Firefox After Security Flaw Discovered, artikel fra Security Week
• Certificate verification bypass through the HTTP/2 Alt-Svc header
• Firefox får opportunistisk kryptering, DKCERT 30-03-2015