Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Certificaatautoriteit ANSSI verstrekte vals Google-certificaat

De Franse certificaatautoriteit ANSSI heeft een vervalst ssl-certificaat uitgegeven dat afkomstig leek van Google, zo ontdekte de internetgigant. ANSSI spreekt van een menselijke fout en stelt dat internetgebruikers niet zijn getroffen.

Het Google Security Team meldt op zijn weblog dat zij op 3 december een vals certificaat hebben ontdekt. Het ssl-certificaat bleek te zijn verstrekt door ANSSI, de organisatie die certificaten aan Franse overheidssites uitdeelt. Het valse ssl-certificaat is binnen een privénetwerk gebruikt om versleuteld dataverkeer van en naar Google-servers af te tappen, zo concludeerde ANSSI na te zijn geïnformeerd door Google. Kort na de ontdekking besloot het Google Security Team om de zogeheten intermediate certificate authority direct te blokkeren in zijn Chrome-browser. Ook andere browserbouwers zijn geïnformeerd over de kwestie.

De ANSSI heeft inmiddels laten weten dat er bij de uitgifte van het betreffende certificaat sprake was van een menselijke fout. Het certificaat zou zijn gebruikt door het ministerie van Financiën om het interne netwerk te kunnen monitoren. Daarmee zijn de regels van ANSSI overtreden. De certificaatautoriteit zegt dat het maatregelen heeft genomen om herhaling te voorkomen en dat de veiligheid van zowel de Franse overheid als die van internetgebruikers niet in gevaar is geweest.

Google wijst erop dat de kwestie heeft aangetoond hoe belangrijk zijn Certificate Transparancy-platform is. Met dit zelfontwikkelde systeem wordt de geldigheid van certificaten realtime gecontroleerd. Zo moet het in omloop brengen van valse certificaten voorkomen worden, evenals inbraken bij certificaatautoriteiten, zoals bij de roemruchte Diginotar-zaak het geval was.

Door Dimitri Reijerman

Redacteur

08-12-2013 • 13:07

66 Linkedin Google+

Lees meer

Reacties (66)

Wijzig sortering
Wat ik niet begrijp is dat voor intern gebruik een publiek certificaat nodig was. Intern kan je namelijk zelf bepalen welke certificaten je wel en niet vertrouwd en als je intern wilt monitoren dan kan je gewoon je eigen CA vertrouwen die een Google certificaat uitgeeft.

Maar goed, het mechanisme lijkt te werken. Diginotar bestaat niet meer als publiek CA en dat zelfde zal gebeuren met ANSSI omdat deze CA in ieder geval niet meer wordt vertrouwd door een zeer belangrijke browser. Het zal denk ik niet lang meer duren voordat IE en Firefox zullen volgen.
Uit het verhaal van ANSS zelf maak ik uit dat dit niet beperkt is tot een Google certificaat.
As a result of a human error which was made during a process aimed at strengthening the overall IT security of the French Ministry of Finance, digital certificates related to third-party domains which do not belong to the French administration have been signed by a certification authority of the DGTrésor (Treasury) which is attached to the IGC/A.
The mistake has had no consequences on the overall network security, either for the French administration or the general public. The aforementioned branch of the IGC/A has been revoked preventively.
The reinforcement of the whole IGC/A process is currently under supervision to make sure no incident of this kind will ever happen again.
http://www.ssi.gouv.fr/en...-an-igc-a-branch-808.html
En hier lezen we dat ze zelf Google hebben gevraagd om de CA in te trekken. Wel nadat Google zelf het valse Google certificaat had ontdekt, volgens het zeggen van Google, want hun komen ook pas na het verzoek met het nieuws naar buiten dat de ontdekking op 3 december is gedaan.
Een menselijke fout!? En hoeveel 'menselijke fouten' zijn er de afgelopen tijd door hun gemaakt? Hoe betrouwbaar zijn je certificaten als een externe partij je moet wijzen op je eigen falen, terwijl dit juist de core-business is van je bedrijf? Onbegrijpelijk, en reden temeer om te denken dat al die certificaten maar een wassen neus zijn..
Hoe kan hier nu een menselijk fout optreden. Er worden zoveel certificaten aangevraagd bij zo'n bedrijf dat ik me nauwelijks kan voorstellen dat het met de hand verwerkt wordt, dus zou het niet mogelijk moeten zijn om een menselijke fout te maken, tenzij er van een bug/hack veroorzaakt door een menselijk fout wordt gesproken. In beide gevallen gaat wat mij betreft het vertrouwen in de CA naar 0 en ik denk dat het bedrijf nu beter zelf kan gaan opdoeken dan wachten tot het publiek er voor zorgt.
De hele huidige constructie met CA's is ook zo brak als het maar zijn kan en dat wordt weer keer op keer aangetoond. DNSSEC/DANE is ook niet de oplossing. Leuke must-watch: http://www.youtube.com/watch?v=Z7Wl2FW2TcA
/laat dus zal wel weer haast niemand lezen.

Maar dit is eerder al eens gebeurt, een CA die een cert uitgeeft waarmee "de klant" het ssl-verkeer van/naar wat voor site dan ook via een MitM cert kan lezen. Zie:
http://netsecurityit.word...n-the-middle-certificate/
https://bugzilla.mozilla.org/show_bug.cgi?id=724929
http://blog.spiderlabs.co...ave-ca-policy-update.html
Tsja... een "menselijke fout" net zoals er net toevallig een stroomstoring was toen Van Rey belde met Teeven... of toch niet?

Vast wel "een stagiar" of "een junior medewerker" die de zwarte piet (ha ha) toegeschoven heeft gekregen.
Een menselijke fout, of een menselijk omkoopschandaal? (of niet zo menselijke dwang door de Franse overheid)
Vals dilemma (jammer dat de reden van een -1 er niet bij staat, zal wel zijn dat omkoopschandalen ongewenst zijn, maar dat was dus niet het probleem met jouw bericht, de drogreden wel).

Het was zo aan het nieuwsbericht te zien mogelijk optie 3: in opdracht van een overheid (en gewoon tegen betaling of hoe die verrekening dan ook gaat).

Aan de andere kant kan het ook nog optie 4 zijn: in opdracht van en bovendien een menselijke fout.

@CAPSLOCK2000: Zou ook best zoiets kunnen zijn inderdaad.

[Reactie gewijzigd door mae-t.net op 8 december 2013 14:28]

Ik denk een beetje van allemaal.
Het ministerie vraagt om een certificaat en de ontvanger van het verzoek denkt 'het is de overheid, het zal wel goed zijn'. Als de eerste ontvanger niet mee werkt dan proberen ze het gewoon bij een ander.

Toch vind ik het nog een beetje vreemd. Ik zou hopen dat een CA hier op verdacht is en een lijst heeft met populaire domeinen. Als er een certificaat voor zo'n domein aangevraagd wordt dan zou er een alarm moeten afgaan zodat er extra controle kan worden toegepast.

Ik kan me voorstellen dat daarom een beetje druk is uitgeoefend om het certificaat toch goed gekeurd te krijgen. Dat hoeft niet eens omkoping zijn. Een beetje wapperen met 'staatsveiligheid' en wat indrukwekkende stempels van het ministerie kan behoorlijk intimiderend zijn.
Fouten worden gemaakt - een reden te meer op streng te zijn op Byod - en ervoor te zorgen dat die naar buiten gerouteerd worden alsof 't buitenaardse wezens zijn!

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True