Browsermakers geven nieuwe versies uit na DigiNotar-blunder
Microsoft, Google en Mozilla brengen software-updates uit om de root-key van DigiNotar te verwijderen. DigiNotar, dat veel werk voor de Nederlandse overheid verricht, verstrekte een ongeldig ssl-certificaat voor subdomeinen van Google.com.
Door het ongeldige ssl-certificaat kon de Iraanse overheid een man in the middle-aanval op zijn inwoners uitvoeren, door het verkeer van en naar de Gmail-servers te onderscheppen. Internetgebruikers zouden daarvan niets merken, omdat het Nederlandse bedrijf DigiNotar een vals ssl-certificaat voor alle subdomeinen van Google.com had uitgegeven.
Mozilla heeft daarom aangegeven zeer binnenkort met een update voor Firefox, Thunderbird, SeaMonkey en Firefox Mobile te komen waarin het zogenoemde root-certificaat van DigiNotar ongeldig wordt verklaard. Daardoor zijn certificaten die onder de vlag van dit root-certificaat zijn uitgegeven, ongeldig. Microsoft heeft de root-key van DigiNotar uit zijn lijst met vertrouwde certificaten gehaald, waardoor gebruikers van Internet Explorer op nieuwe Windows-versies een foutmelding zouden moeten krijgen als een certificaat met de root-sleutel van DigiNotar is ondertekend.
Ook Google gaat het certificaat intrekken, al waren Chrome-gebruikers sowieso niet vatbaar voor het beveiligingsprobleem: Google heeft in de code van Chrome aangegeven dat alleen bepaalde partijen certificaten voor Google.com mogen uitgeven, en daar was DigiNotar er geen van. Als gevolg van het intrekken van de certificaten krijgen gebruikers een foutmelding als ze naar een beveiligde website met een DigiNotar-certificaat proberen te gaan. Desgewenst kunnen ze de website toch bezoeken, maar de identiteit van de website kan dan niet worden bevestigd.
Woordvoerder Jochem Binst van Vasco Security, dat de eigenaar is van DigiNotar, stelt dat dat geen gevolgen heeft voor het werk dat DigiNotar voor de overheid doet. Zo regelt DigiNotar het ssl-certificaat van DigiD, evenals de ssl-certificaten die bedrijven en instellingen gebruiken om vertrouwelijk met de overheid te communiceren. Het certificaat voor DigiD is bijvoorbeeld door een aparte root-autoriteit uitgegeven, speciaal voor de overheid.
Binst zegt niet te weten waarom DigiNotar een certificaat heeft uitgegeven voor Google, terwijl het dat helemaal niet had mogen doen. Wel zal het bedrijf later op de dag met een verklaring komen.
Het is niet de eerste keer dat een root-autoriteit ongeldige ssl-certificaten uitgeeft: Comodo heeft in maart ongeldige certificaten uitgegeven voor domeinen van Google, Yahoo, Mozilla en Microsoft. Opvallend is dat het certificaat van DigiNotar bijna twee maanden onopgemerkt is gebleven; inmiddels heeft DigiNotar het certificaat ingetrokken, maar daarmee kon niet worden voorkomen dat webbrowsers collectief het vertrouwen in DigiNotar opzegden.
Volgens de Electronic Frontier Foundation bevestigt de DigiNotar-blunder de kwetsbaarheid van certificaat-autoriteiten, terwijl de betrouwbaarheid van https-verbindingen zo zwaar leunt op die partijen. "Vandaag de dag vertrouwen internetgebruikers op certificaat-autoriteiten om hun privacy tegenover overheden te beschermen. We vragen ons af of die deze last wel kunnen dragen", schrijft de burgerrechtenorganisatie.
Reacties (97)
Wel jammer dat je dan toch zelf je browser moet updaten wat natuurlijk niet iedereen doet.
@Hieronder...
Iets wat niet opgemerkt is kun je ook niet verhelpen ? Het is dus pas gister aan het licht gekomen en ze nemen dus meteen stappen...
En ook zoals hieronder.. het is niet aan de browser makers om dit op te lossen en toch doen ze het.
[Reactie gewijzigd door Brummetje op dinsdag 30 augustus 2011 09:44]
edit n.a.v. bericht hierboven
[Reactie gewijzigd door funk-e op dinsdag 30 augustus 2011 09:45]
Zo te zien hoeft Microsoft voor IE op Windows Vista en nieuwer helemaal geen software update door te voeren omdat Internet Explorer on line de certificaten verifieert tegen de Microsoft Certificate Trust List.en Microsoft het Diginotar cerificaat daarvoor direct heeft ingetrokkenVolgens mij kunnen we uit het artikel niet opmaken dat de updates al klaar staan
Voor Window XP en Server 2003 versies zal vermoedelijk nog wel een update moeten komen.
[Reactie gewijzigd door hAl op dinsdag 30 augustus 2011 10:15]
Euhhhh... Wat mis ik?Erg netjes dat ze dat zo snel allemaal hebben geregeld..
Tja, het is maar wat je snel noemt.Opvallend is dat het certificaat van Diginotar bijna twee maanden onopgemerkt is gebleven.
[Reactie gewijzigd door Marcade op dinsdag 30 augustus 2011 09:32]
Het is niet aan Mozilla/Microsoft/Google om alle SSL-certificaten dagenlijks na te lopen
In Iran is dat anders, omdat Iran hun DNS servers kunnen wijzigen om via een soort van proxy het verkeer te onderscheppen. De proxy zorgt voor de blauwe blak (ik ga er vanuit dat dit niet het EV-SSL certificaat betreft) in de browser verschijnt en zet alle verzoeken door naar de 'echte' server en geeft daarna het antwoord weer terug.
Wij gebruiken een soort gelijke techniek om Chrome uitdates te cachen. Je wilt niet dat ruim 150 clients allemaal dezelfde software gaan downloaden. Via caching door middel van een transparante proxy wordt op deze manier slechts eenmaal de Chrome update gedownload per 4 uur.
Iran gebruikt deze techniek dus om mailverkeer te onderscheppen..
quote uit de ettercap manual page: "SSL support : you can sniff SSL secured data... a fake certificate is presented to the client and the session is decrypted."Normaal heb je natuurlijk niet zoveel aan alleen een SSL certificaat voor een Google domein.
http://openmaniak.com/ettercap_filter.phpEr is natuurlijk geen enkele DNS server welke bezoekers naar jouw server doorstuurd zodat je ook een man-in-the-middle attack kunt uitvoeren.
edit: na het lezen van mijn comment vraag ik me af of ik wel kan lezen/schrijven......
[Reactie gewijzigd door goestin op dinsdag 30 augustus 2011 10:02]
Stap 1: 'gratis' hotspot opzetten op b.v. een terasje.
Stap 2: je eigen dns server via dhcp uitgeven.
Stap 3: Wachten op de eerste dodo die op de desbetreffende site wil inloggen en het valse SSL certificaat naar de client sturen.
(volgens mij is er binnen het SSL-gebeuren ook een voorziening om dit te kunnen doen...)
Edit: zo te zien heeft Diginotar dat inderdaad al gedaan: http://www.google.co.uk/s...da6158b094b225a&hl=en -- Helaas voor hen zijn ze nu alsnog hun reputatie kwijt
[Reactie gewijzigd door dazjorz op dinsdag 30 augustus 2011 09:55]
via een SSL-verbinding dan gelijk ook? en dan laat je Diginotar weer de certificaten voor leveren?
Volgens mij wil je nu net liever niet dat de identiteits-vaststelling makkelijk via geheimzinnige 'backdoors' beinvloed kan worden en daarom zou het juist meer gevaar opleveren om zulk een 'backdoor' te scheppen...
het is waarschijnlijk enkel een praktische oplossing voor veelgebruikte domeinen om met 'root-certificaten' te werken die niet continue gechecked worden, dat om extra 'load' op de certifcaatservers te beperken... maar juist dat is ook een extra gevaar, zeker nu blijkt dat een vals certicaat 2 maanden kon bestaan zonder dat er een 'waarschuwing' gegeven werd dat er dus illegale rootcertifcaten in omloop waren...
wat dat betreft zou het veiliger zijn als zelfs rootcertifcaten toch minimaal eens per 48 uur iig op geldigheid gecheked worden en bij valse meldingen hierover ook gelijk een waarschuwing uitgegeven wordt, inclusief de uitgevende instantie....
in zo'n geval zou men binnen 48 uur tegen zulke ilegale certificaten kunnen optreden en is het niet meer winstgevend die te misbruiken voor langdurigere spionage-doeleinden (wat veel 'afluisterwerk' meestalw el is, dat zijn langdurende operaties die vaak niet bedoeld zijn om binnen 48 uur weer ontdekt te worden)
Maar worden revocation lists niet apart opgehaald bij FF en IE?
Edit: er zijn er meer die hiervan op de hoogte zijn zo te zien
[Reactie gewijzigd door [Yellow] op dinsdag 30 augustus 2011 10:00]
No, the certificate has been revoked and this should cover anyone using it for on-line SSL connections. The update would be a lot of work for simlply deleting a certificate from the built-in certificate store, which you can do yourself as well (if you are really worried that the certificate revocation won't be picked up by Pale Moon) by following the steps here: http://support.mozilla.co...eleting-diginotar-ca-cert
Wel heel mooi dat de browsermakerS dit relatief snel aan hebben gepakt (en dus niet een beetje hebben zitten kijken voor een maand o.i.d)
YupHoe zit het nou voor andere klanten van Diginotar? Die krijgen ineens rode tekentjes ipv een groen slotje in de browser?
Maar heel veel klanten worden hier dus wel door geraakt en die kunnen hun bezoekers dus geen garanties meer geven.
Als je naar de intermediate van digid.nl kijkt, zul je zien dat deze daarmee ook begint. Digid.nl zal dus wel degelijk problemen krijgen zonder update.
http://www.logius.nl/prod...sluiten/toegetreden-csps/
Zouden ze dan echt gaan vertellen hoeveel geld ze van de Iraanse overheid hebben ontvangenWel zal het bedrijf zal later op de dag met een verklaring komen.
Oei, ik wordt weggemod, zou de geheime dienst me nu al op het spoor zijn
Sorry jongens, zo bedoelde ik het niet hoor, ik bedoelde natuurlijk dat het goed zaken doen is met landen als Iran en dat corruptie daar nauwelijks voorkomt. [Reactie gewijzigd door Gepetto op dinsdag 30 augustus 2011 13:25]
Daarnaast, stel Verisign zou dat wel doen, dan heeft dat meer gevolgen dan alleen een paar SSL certificaatjes. Verisign beheert ook een aantal TLDs die hun door de amerikaanse overheid zijn toegeschoven. Als bekend wordt dat Verisign ongeldige certificaten aan Iran uitdeelt zal het niet lang duren voordat de Amerikaanse overheid alle verantwoordelijkheden bij Verisign weg trekt.
Ik zie in de Internet Properties -> Content -> Certificates -> Untrusted publishers 2 x een fraudulent Microsoft Corporation certificaat, uitgegeven door Verisign.
Daarnaast nog 9 uitgegeven door UTN-UserFirst-Hardware, voor onder andere ... mail.google.com!
Deze 11 certificaten zijn gewoon slechts ingetrokken (revoked), zonder de Versign of UserTrust root CA ongeldig te verklaren...
Microsoft kwam er toen snel achter omdat de werkwijze van Verisign destijds anders was: als je namens een bedrijf een certificaat aanvraagt ging er een fax naar de directie van dat bedrijf (zoals bekend bij KvK), en daarin staan instructies om de uitgifte tegen te houden (niet veel meer dan het terugsturen van een fax). Microsoft deed dat toen, maar Verisign gaf toch het certificaat uit. Maar, destijds stuurde Verisign ook nog een bevestigingsfax naar de directie van Microsoft, welke vervolgens actie ondernam.
Door die laatste handeling kon het certificaat binnen enkele dagen na uitgifte worden ingetrokken. We zijn tien jaar verder en DigiNotar heeft twee maanden nodig - niet best.
Dit vind ik toch wel zorgwekkend. Sowieso is het hele certificaat gebeuren voor de gebruiker lekker onduidelijk. Maar had wel gedacht en gehoopt dat de controle wat beter zou zijn dan twee maanden...Opvallend is dat het certificaat van Diginotar bijna twee maanden onopgemerkt is gebleven.
Google Chrome had om een of andere reden wel door dat er iets niet pluis was:
http://www.google.co.uk/s...read?tid=2da6158b094b225a
Doordat Chrome foutmeldingen gaf kwam men er vrij snel achter dat er gerommeld was met certificaten.
Een aanvullende non-standaard check die Chrome alleen kan doen omdat ze natuurlijk bij google zelf weten bij wie ze hun eigen certificaten hebben vastgelegd.
Ze moeten natuurlijk wel, maar uiteindelijk zat google door deze blunder in de problemen, netjes dat Microsoft en Mozilla meteen helpen.
edit: wat revivespirit hierboven eigenlijk zegt dus
[Reactie gewijzigd door Mr. Jinx op dinsdag 30 augustus 2011 09:32]
[Reactie gewijzigd door RoD op dinsdag 30 augustus 2011 11:17]
@vanbroup, @Thralas: dank voor de aanvullingen.
30-8-2011 aanvulling:
Toch heftig, dit. Dit issue is voor Diginotar zo fundamenteel - het hele businessmodel draait op vertrouwen. Alles staat of valt met de kwaliteit van het uitmanagen van deze calamiteit door Diginotar.Ik ben benieuwd hoe ze dit op gaan pakken, samen met hun moederbedrijf Vasco. Gaat Vasco de in januari aangekochte dochter Diginotar laten vallen?
[Reactie gewijzigd door Batje4 op dinsdag 30 augustus 2011 13:05]
Dus ondanks dat dit een ander root is, heeft DigiNotar wel degelijk de controle en is het gevaar dus even groot.
Daardoor zou in geval van Firefox dus ook geen rare dingen moeten gebeuren bij de sites van de overheid. Mocht je het niet met deze discussie eens zijn dan kun je dat natuurlijk in die bug onderbouwen (hoewel ze het waarschijnlijk liever in hun nieuwsgroep hebben, die is bedoeld voor discussie, niet de bugtracker).The current patch we have checked in dis-trusts everything issued by the DigiNotar Root CA, but does not dis-trust certificates issued by DigiNotar as part of the Staat der Nederlanden PKI (PKIoverheid), which chain up to a different root.
Mozilla's reasons for making this distinction will be made clear soon.
Gerv
Over Googel chrome in menu.. dan krijg je chrome about scherm dat gelijk nieuwe updates doet..
Op dit item kan niet meer gereageerd worden.
Populair: Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
