Ziggo gebruikt als onderdeel van de Wifispots een eigen root certificaat, genaamd 'Ziggo Public RootCA - G1'. Klanten worden geïnstrueerd deze op Windows apparaten te installeren bij de vertrouwde root certificaten.
Zo te zien wordt bij de Wifispots instructies voor Android en ChromeOS aangegeven het vertrouwen te beperken tot wifi verbindingen.
Omdat de set aan vertrouwde root certificaten de basis is voor alle beveiligingscontroles op het gebruikersapparaat, is het gevolg van de instructie (voor Windows) dat dit certificaat vertrouwd wordt voor alle doeleinden. Voor elk netwerk. Voor elke verbinding. Voor elke website. Voor elke dienst. Voor elke applicatie.
Indien de private sleutel lekt is de impact niet beperkt tot afluisteren van Wifispots, maar wordt het ook mogelijk om de encryptie van het verkeer daarover te onderscheppen. Bij nabije Wifispots gebruikers zouden man-in-the-middle methodes toegepast kunnen worden - zoals de inhoud waar nemen van communicatie met internet sites, het registreren van daar gebruikte wachtwoorden, het kunnen manipuleren van downloads met malware, het manipuleren van banktransacties, etc. Hedendaagse public key pinning controles (via SCT) worden in deze context ook niet uitgevoerd.
Nu verwacht ik dat Ziggo hier niet onzorgvuldig mee is, maar is er bekend of Ziggo voor deze root CA over een WebTrust of ETSI audit rapport beschikt, of in ieder geval een equivalente audit alleen op het vlak van de bescherming van de private sleutels geassocieerd aan deze root?
