Apple brengt DigiNotar-patch voor OS X uit

Apple heeft een patch uitgebracht, waardoor certificaten van de gehackte ssl-autoriteit DigiNotar niet meer worden vertrouwd in Mac OS X en Apples internetbrowser Safari. Eerder bracht Microsoft al een patch voor Windows uit.

De update maakt dat het besturingssysteem de ssl-certificaten die zijn uitgegeven door het Beverwijkse ssl-bedrijf DigiNotar niet meer worden vertrouwd. De patch is uitgekomen voor Mac OS X Snow Leopard 10.6.8 en Lion 10.7.1.

Apple is het laatste grote bedrijf dat maatregelen neemt. Browserbouwers hadden al updates uitgebracht, terwijl Microsoft dinsdagavond met een patch kwam die DigiNotar-certificaten in Windows uit de whitelist haalt. De update is nog niet officieel in Nederland uitgerold, omdat overheidsinstanties dan in de problemen zouden komen. De update is uitgesteld tot begin volgende week: overheidsinstanties zouden dan alle certificaten van DigiNotar moeten hebben verwisseld voor andere certificaten.

Anderhalve week geleden bleek dat de Nederlandse ssl-autoriteit DigiNotar was gehackt. De hacker die de kraak claimt, de Iraniër ComodoHacker, heeft 531 valse ssl-certitificaten gemaakt. Omdat de systemen waar de overheidscertificaten worden gemaakt niet goed gescheiden bleken van de plaats waar gewone certificaten worden gegenereerd, kon de Nederlandse overheid niet garanderen dat overheidsdiensten beveiligd waren.

Reacties (55)

jst_fubar 10 september 2011 12:42

Volgens mij is het volledig verkeerd om CA's te laten beheren door grote commerciele organisaties. Moxie Marlinspike gaf een interessante presentatie hierover op de laatste BlackHat conferentie in de VS. De eerste paar minuten kan je skippen. Op het einde (vanaf 35:30) stelt hij een oplossing voor het probleem voor.

arjankoole

Beveiliging
Apple
Economie en maatschappij

@jst_fubar • 10 september 2011 13:01

leuke 'oplossing' maar die zal nooit en te nimmer vertrouwd worden door banken, bedrijven en overheden. Die willen 1 entiteit hebben waar ze zaken mee doen, en eventueel kunnen aanklagen. Dat heb je met die 'oplossing' niet.

wizzkizz @arjankoole • 10 september 2011 13:24

In zijn oplossing kan het huidige CA-systeem blijven bestaan, dus banken e.d. blijven een partij houden om aan te klagen. Daarnaast kunnen ook allerlei andere mechanismen worden gebruikt, DANE via DNSSEC bijv. Het is modulair opgezet, dus aanvullende controlemechanismen kunnen gemakkelijk ingebouwd worden. Met een notaris die via DNSSEC controleert, een die bij CA's controleert en een paar die de network perspective gebruiken, zit je volgens mij zo veilig als theoretisch mogelijk is. Een MitM is dan zo goed als onmogelijk ondetecteerbaar uit te voeren.

jst_fubar @wizzkizz • 10 september 2011 13:41

Inderdaad, het enige dat je als gebruiker eigenlijk doet is aan een derde partij die je vertrouwt vragen of die hetzelfde certificaat ziet als jij kreeg van de website. En met de modulariteit van de "notaries" kan dit op verschillende manieren gebeuren.

Om misbruik te kunnen maken van een certificaat zoals gegenereerd tijdens de DN hack, moet de MITM het slachtoffer er nog van overtuigen dat zijn malicious website bijvoorbeeld tot het gmail.com domein behoort. Hiervoor is een DNS hack nodig, of een overheid (Iran?) die met de DNS server kan prutsen e.d.

Een derde partij die je vertelt dat hij iets anders ziet dan jij biedt hier de oplossing. Door de certificaten te cachen krijg je eigenlijk eenzelfde soort systeem als bij SSH waar je er 1 maal voor kiest om een bepaalde public key te vertrouwen. Als die dan wijzigt probeer je waarschijnlijk niet te verbinden met je eigen server, maar met de MITM.

aliberto 10 september 2011 10:44

Ik zie dat bijna elk bedrijf in de IT wereld certificaten blokkeert van DigiNotar.
Houdt dit in dat DigiNotar in 1 klap volstrekt waardeloos is geworden als bedrijf? Of kunnen ze de boel nog rechtzetten?

[Reactie gewijzigd door aliberto op 8 augustus 2024 14:06]

Little Penguin @aliberto • 10 september 2011 11:06

De kans dat de naam DigiNotar nog vertrouwd wordt die is nu nul, men kan dus inderdaad de deuren sluiten - ik zal het eens omdraaien: Vertrouw jij nog een website die ondertekend is met een certificaat van DigiNotar?

Persoonlijk ben ik nog voorzichtiger geworden m.b.t. tot echt cruciale zaken (GMail is dat niet zo zeer voor mij - als een overheid me af wil luisteren kunnen ze dat toch wel over de diverse onversleutelde SSL-verbindingen die er zijn), denk bijvoorbeeld aan telebankieren. Vanaf het moment dat de problemen ontstonden bij Comodo Resellers ben ik een beetje op gaan letten op het certificaat van de bank en nu met het DigiNotar-debacle is dat alleen maar meer geworden.

Overigens blijft het dan een lastig verhaal, want wie garandeert mij dat de ROOT CA van het SSL-certificaat van mijn bank niet gekraakt is?

Er zijn ook diverse oplossingen te bedenken, zo zou een webbrowser het certificaat kunnen opslaan en een vergelijking maken tussen het opgeslagen certificaat en een nieuw certificaat - alleen als het opgeslagen certificaat verlopen is zou het aangeleverde certificaat anders mogen zijn. (Nu zijn er soms sites die verschillende certificaten van verschillende CA's door elkaar gebruiken en dan gaat dit systeem niet op - maar zoiets zou je in moeten kunnen stellen; eventueeel met een extra HTTP-header).

Ook rond het verlopen van een certificaat zou je iets moeten kunnen doen - een nieuw certificaat zou bijvoorbeeld ondertekend kunnen zijn met het oude...

Op die manier krijg je dus een situatie waar je de eerste keer moet vertrouwen op een derde partij - die moet dus zorgen voor een veilige omgeving; die eerste keer blijft ten slotte belangrijk en later kan zorgen voor veiligheid op basis van eerdere bezoeken van de website...

sumac @Little Penguin • 10 september 2011 13:34

Ik gebruik sinds kort Certificate Patrol om een idee te krijgen van wat er allemaal met de certificaten in m'n browser gebeurt.

https://addons.mozilla.or...addon/certificate-patrol/

Wat je bank betreft, ik denk dat het risico meevalt. Als er bedragen naar vreemde rekeningen overgeboekt worden, dan zal het al snel duidelijk worden dat er sprake is van misbruik. Mbv de logs van je provider is het waarschijnlijk weer mogelijk om te bepalen welke ip-adressen gebruikt zijn. Strikt gezien is het dan niet de fout van de bank, en zijn zij dus niet aansprakelijk, maar ze zullen het waarschijnlijk wel vergoeden, want als ze dat niet doen zal het vertrouwen in het systeem afnemen, en die schade zal veel groter zijn.

Plasma_Wolf @aliberto • 10 september 2011 10:55

Ze gaan het in ieder geval moeilijk krijgen. Ik zie het blokkeren door elk IT bedrijf alleen niet als oorzaak maar als gevolg. DigiNotar heeft ongeveer een maand lang niets gezegd over de hack en toen het naar buiten kwam bleek ook nog eens dat de beveiliging even makkelijk te kraken is als het wachtwoord "1234".

Zulke fouten zijn de oorzaak van de blokkade en het feit dat de overheid geen zaken meer met DN wil doen. Het is daarmee ook de oorzaak dat DN waardeloos is geworden, want dat is het naar mijn idee wel.

Zulke reputatieschade (op grond van datgene wat nou juist zo belangrijk is om op orde te hebben bij zo'n bedrijf) is niet goed te maken in een paar weken en meer tijd hebben ze denk ik niet op het Internet.

elmuerte @aliberto • 10 september 2011 10:55

Als je business "trust" is, en door eigen toedoen is je trust beschadigd kan je inderdaad je deuren sluiten.

Hagelslager @aliberto • 10 september 2011 13:55

Ik denk dat diginotar de deuren wel kan sluiten binnenkort. Het is niet te verkopen dat je als leverancier en bewaker van SSL certificaten zelf zo luchtig doet over je veiligheid.

Overigens is er bij de overheid ook flink wat misgegaan omtrent diginotar, de bedrijven die SSL certificaten uit (mogen) geven worden redelijk streng gecontroleerd, iets wat bij diginotar niet of onvoldoende gebeurd is.

Laat overlet dat de bedrijfsnaam diginotar geen bestaansrecht meer heeft. Ook als ze onder een andere naam verder zouden gaan moet er nog veel gebeuren voordat het vertrouwen hersteld is. Als dat nog lukt.

To_Tall

@Hagelslager • 12 september 2011 11:35

Al is de controlle nog zo streng..
Dan nog kan je je uitvoerende taken buiten de boekehouden zodat het niet wordt opgemerkt. Controlle is nooit 100% waterdicht.

Belangrijker is, mocht er nalatigheid zijn, wat gaat er dan met het managment van DN gebeuren? Kan me niet voorstellen dat dit ongestraft kan blijven

defcon84 @aliberto • 10 september 2011 11:01

Ik hoop voor hun dat ze alles terug op een rijtje krijgen: beveiliging in orde krijgen, alle oude certificaten ongeldig maken en alle legitieme certificaten vervangen door nieuwe.. EN communiceren met de buitenwereld, want dat doen ze veel te weinig imho..

sHELL @defcon84 • 10 september 2011 11:10

Dat is al lang te laat.

Veel van de certificaten zijn al vervangen door die van andere leveranciers en ik denk niet dat een serieuze business nu nog zit te wachten op een SSL certificaat van diginotar.

sumac @defcon84 • 10 september 2011 13:26

Ik hoop voor hen dat ze zo verstandig zijn meteen die naam te droppen, en volledig te integreren met het moederbedrijf, als dat tenminste nog wil.

Xubby @defcon84 • 10 september 2011 14:50

Met alle respekt voor de medewerkers, heel sneu voor ze: maar inderdaad, de business is vertrouwen, dat is beschaamd, zelfs meerdere keren: er waren meerdere inbraken.
Dus is er, wat mij betreft, maar 1 goede oplossing: het bedrijf houdt op te bestaan. Om 2 redenen:
- zelf "bewezen" het vertrouwen niet waard te zijn.
- als voorbeeld voor de rest: als je dit flikt: einde bedrijf.

Hopelijk werkt zoiets dan enigermate afschrikwekkend op de overige bedrijven.

MrHankey @aliberto • 10 september 2011 11:06

Diginotar heeft natuurlijk wel nog een heleboel computers en servers staan, en een legertje systeemberheerders in dienst. Lijkt mij dat deze fout grotendeels bij het management van DN ligt, die hebben de beveiliging niet (goed?) laten controleren.
Dus, aggresieve overname, nieuw management, andere naam en overnieuw beginnen in China of India lijkt mij.

thegve @MrHankey • 11 september 2011 11:23

Overnieuw beginnen in China/India? Met het Nederlandse personeel?

Sowieso zou ik niet snel een Indiaas/Chinees certificaat vertrouwen, dus wat dat betreft.

darkfader 10 september 2011 11:22

Is het niet al voldoende om OCSP/CRL aan te zetten in de prefs van Keychain Access?

Verwijderd @darkfader • 10 september 2011 11:40

Nee.

Helaas bleek er een bug in OSX te zitten in de afhandeling van EV certificaten, waardoor ze ook trusten worden terwijl de CA untrusted is.

Users can revoke a certificate using Keychain, but if they happen to visit a site that uses the more-secure Extended Validation Certificates, the Mac will accept the EV certificate even if it's been issued by a certificate authority marked as untrusted in Keychain.

Luke_msx @Verwijderd • 10 september 2011 11:43

Maar als je OSCP/CRL aanzet, dan omzeil je juist deze bug. Volgens mijn informatie werkte dit wel degelijk.

Turbo-Puppy 10 september 2011 10:53

@aliberto

Dit is nou precies wat ik mij ook afvraag.

Een bedrijf dat als product gerespecteerde certificaten uitbrengt die nergens worden geacepteerd is toch zoiets als valuta in handen hebben dat niemand als betaalmiddel accepteerd ?

Feitelijk is dus vast te stellen dat ondanks Diginotar nog in bedrijf is, zij eigenlijk geen product meer hebben te verkopen ?

[Reactie gewijzigd door Turbo-Puppy op 8 augustus 2024 14:06]

MueR Admin Discord & Devschuur @Turbo-Puppy • 10 september 2011 10:56

Een bedrijf dat als product gerespecteerde certificaten uitbrengt

Diginotar certificaten hebben hun waarde verloren op het moment dat ze een hack een maand stil hielden en daardoor mogelijk honderden ongeldige certificaten de wereld in zijn gegooid.

Seal64 @Turbo-Puppy • 10 september 2011 15:47

Ze hebben nog product zat om te verkopen - alleen wil niemand het meer hebben. Komt uiteindelijk op hetzelfde neer, natuurlijk. Einde oefening voor DigiNotar...

Wolfos 10 september 2011 11:46

Huh? Hij is al lang geblokkeerd bij mij, nog op de dag dat aangekondigd werd dat Diginotar geblokkeerd zou worden en Chrome zei dat het OS het niet vertrouwde.

Little Penguin @Wolfos • 10 september 2011 11:50

Voor zover ik weet maakt Google Chrome voor de HTTPS-verbindingen gebruik van NSS van het Mozilla project - Google heeft het accepteren van een certificaat dus volledig in eigen hand en is niet afhankelijk van het wel/niet toelaten van het besturingssysteem.

CyBeR @Little Penguin • 10 september 2011 12:43

Niet op OSX; daar laat het het systeem de certificate trust meuk doen.

Wolfos heeft waarschijnlijk OSCP aan staan.

Harm 10 september 2011 12:11

Apple is het laatste grote bedrijf dat maatregelen neemt. Browserbouwers hadden al updates uitgebracht, terwijl Microsoft dinsdagavond met een patch kwam die DigiNotar-certificaten in Windows uit de whitelist haalt.

Volgens mij wordt er dan een grote groep apparaten vergeten: mobiele devices. Voor zover ik weet zijn er voor Symbian, iOS en Android nog geen updates beschikbaar gesteld, terwijl die natuurlijk net zo makkelijk gebruikt kunnen worden voor communicatie met door Diginotar beveiligde systemen. Wanneer gaat daar wat mee gedaan worden?!

CyBeR @Harm • 10 september 2011 12:43

Je kunt er donder op zeggen dat dit bij de volgende update mee komt.

mystic101 @CyBeR • 10 september 2011 13:00

Hoe zit dat bij bijvoorbeeld de HTC Desire. Ik heb begrepen dat hiervoor geen over the air update meer komt.

Wolfos @mystic101 • 10 september 2011 15:11

Inderdaad, er zijn heel veel Android telefoons die geen updates meer ontvangen na enkele maanden. Aangezien je meestal 2 jaar aan een abonnement vast zit lijkt het me dat heel veel mensen een end of life telefoon hebben.

CyBeR @mystic101 • 10 september 2011 21:25

Ik doelde eigenlijk op iOS, maar dat was wellicht onduidelijk. Wat HTC en consorten doen, geen idee. Maar ik heb altijd al gevonden dat het updaten op die platforms nogal slecht geregeld was.

Verwijderd 10 september 2011 11:56

Ik zag net dat Ubuntu ook al patches heeft uitgerold:
http://postimage.org/image/20jge9l6s/

[Reactie gewijzigd door Verwijderd op 8 augustus 2024 14:06]

phosporus @Verwijderd • 11 september 2011 18:03

Daar zal je op tweakers.net dan weer niet snel een bericht van zijn

Verwijderd 10 september 2011 12:44

Ik ben net even op de diginotar site geweest en wat rondgeklikt en kreeg al gauw de melding dat hun certificaat niet betrouwbaar is. Dus eigenlijk zou diginotar een certificaat bij een andere instantie moeten kopen om hun ordersysteem nog bruikbaar te houden $_/-\o_$

Overigens vind ik het jammer van de lagere mensen die er werkten. De kans is groot dat dit door de management zo is besloten en als ik het goed heb was de directeur (en ongetwijfeld meer mensen) hoog bij het CDA en hebben op die manier hun baan hebben weten te bemachtigen... terwijl juist politici weinig technische kennis hebben en blijkbaar al helemaal niet hebben ingeschat wat de prijs is voor het onder de pet houden van dit soort dingen is.

Waar naar mijn mening politiek een eufemisme is voor liegen & bedriegen werkt dit voor een certificaat instantie net iets anders.

Verwijderd 10 september 2011 11:04

Ik ben benieuwd of het op Apple servers wel werkt. Op het Microsoft platform staan de Diginotar certificaten in de Untrusted zone, dus zou bij machine to machine communicatie geen veilige verbinding opgezet kunnen worden. Het zou moeten waarschuwen en dergelijke toch?
Niets is minder waar, de verbinding wordt gewoon opgezet.

Verwijderd @Verwijderd • 10 september 2011 11:20

De verbinding word opgezet op het moment dat iemand het accepteert om onveilig te gaan werken.

Verwijderd @Verwijderd • 10 september 2011 11:37

Eh, dat is het probleem juist, er komt geen waarschuwing! De verbinding wordt opgezet, klaar.

edit: even ter verduidelijking, ik heb het hier niet over browser naar server, maar over machine2machine speak, zoals mailservers onderling.
je mail gaat dus gewoon naar een untrusted serverl

[Reactie gewijzigd door Verwijderd op 8 augustus 2024 14:06]

Verwijderd @Verwijderd • 10 september 2011 11:45

Ik krijg wel een waarschuwing in OSX.

ASS-Ware @Verwijderd • 11 september 2011 03:25

Even ter verduidelijking :
Mailserver sturen onderling mail onversleuteld, zonder SSL, zonder certificaten.
Mail gaat kaal over het lijntje.

Dutch_Razor @Verwijderd • 10 september 2011 11:40

Zoals in het artikel staat is de update in Nederland nog niet uitgerold, of heb je deze handmatig geïnstalleerd?

Verwijderd @Dutch_Razor • 10 september 2011 11:46

En dat klopt niet want software update zegt net dat er een update is.

CyBeR @Verwijderd • 10 september 2011 12:42

Microsoft heeft een vertraagde release voor Nederland. Apple niet.

Apple heeft gewoon een vertraagde release, period. Komt door hun testprocedures volgens mij, alle releases duren daar twee weken.

mystic101 10 september 2011 13:17

Wanneer ik vanuit een Apple (Lion) met safari surf naar https://www.diginotar.nl krijg ik geen melding en kom ik op http://www.diginotar.nl/Default.aspx.

Vooralsnog geven alleen Firefox en Chrome een veiligheidsmelding.

Firefox geeft:

Secure Connection Failed
An error occurred during a connection to www.diginotar.nl.
Peer's Certificate has been revoked.
(Error code: sec_error_revoked_certificate).

En Chrome geeft:

The site's security certificate is not trusted!
You attempted www.diginotar.nl, but the server presented a certificate issued by an entity that is not trusted by your computer's operating system. This may mean....

jj71 @mystic101 • 10 september 2011 13:49

Heb je de patch al geïnstalleerd? Dat gaat niet vanzelf / onzichtbaar op Mac OS X. Klik op het appeltje linksboven en kies "Software Update". Bij mij was er inderdaad een beveiligingsupdate, die ik zojuist heb geïnstalleerd (ik moest ook nog de computer opnieuw opstarten).

Als ik nu met Safari naar https://www.diginotar.nl ga dan krijg ik inderdaad een waarschuwing.

Firefox en Chrome hebben hun eigen update-mechanisme (los van Apple's Software Update) en hebben zichzelf waarschijnlijk al onzichtbaar geüpdatet.

[Reactie gewijzigd door jj71 op 8 augustus 2024 14:06]

BoringDay @mystic101 • 11 september 2011 18:12

Ik krijg er gewoon een melding.

Zorg dat je OS up-to-date is en je kan de diginotar certificeren verwijderen via je sleutelhanger.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (55)

Sorteer op:

Weergave: